bs-it-gs-2023-con-konzeption-und-vorgehensweisen.yaml

urn: urn:intuitem:risk:library:bs-it-gs-2023-con-konzeption-und-vorgehensweisen
locale: de
ref_id: bs-it-gs-2023-con-konzeption-und-vorgehensweisen
name: "IT-Grundschutz-Kompendium \u2013 Werkzeug f\xFCr Informationssicherheit - CON:\
  \ Konzeption und Vorgehensweisen"
description: "Das IT-Grundschutz-Kompendium ist die grundlegende Ver\xF6ffentlichung\
  \ des IT-Grundschutzes. Zusammen mit den BSI-Standards bildet es die Basis f\xFC\
  r alle, die sich umfassend mit dem Thema Informationssicherheit befassen m\xF6chten."
copyright: Deutschland BSI
version: 1
provider: BSI
packager: intuitem
objects:
  framework:
    urn: urn:intuitem:risk:framework:bs-it-gs-2023-con-konzeption-und-vorgehensweisen
    ref_id: bs-it-gs-2023-con-konzeption-und-vorgehensweisen
    name: "IT-Grundschutz-Kompendium \u2013 Werkzeug f\xFCr Informationssicherheit\
      \ - CON: Konzeption und Vorgehensweisen"
    description: "Das IT-Grundschutz-Kompendium ist die grundlegende Ver\xF6ffentlichung\
      \ des IT-Grundschutzes. Zusammen mit den BSI-Standards bildet es die Basis f\xFC\
      r alle, die sich umfassend mit dem Thema Informationssicherheit befassen m\xF6\
      chten."
    implementation_groups_definition:
    - ref_id: B
      name: Basis
      description: null
    - ref_id: S
      name: Standard
      description: null
    - ref_id: E
      name: "Erh\xF6hter Schutzbedarf"
      description: null
    requirement_nodes:
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1
      assessable: false
      depth: 1
      ref_id: CON.1
      name: Kryptokonzept
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a1
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1
      ref_id: CON.1.A1
      name: Auswahl geeigneter kryptografischer Verfahren
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a1.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a1
      ref_id: CON.1.A1.1
      description: "Es M\xDCSSEN geeignete kryptografische Verfahren ausgew\xE4hlt\
        \ werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a1.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a1
      ref_id: CON.1.A1.2
      description: "Dabei MUSS sichergestellt sein, dass etablierte Algorithmen verwendet\
        \ werden, die von der Fachwelt intensiv untersucht wurden und von denen keine\
        \ Sicherheitsl\xFCcken bekannt sind."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a1.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a1
      ref_id: CON.1.A1.3
      description: "Ebenso M\xDCSSEN aktuell empfohlene Schl\xFCssell\xE4ngen verwendet\
        \ werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a1.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a1
      ref_id: CON.1.A1.4
      description: "Um eine geeignete Schl\xFCssell\xE4nge auszuw\xE4hlen, SOLLTE\
        \ ber\xFCcksichtigt werden, wie lange das kryptografische Verfahren eingesetzt\
        \ werden soll."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a1.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a1
      ref_id: CON.1.A1.5
      description: "Bei einer l\xE4ngeren Einsatzdauer SOLLTEN entsprechend l\xE4\
        ngere Schl\xFCssell\xE4ngen eingesetzt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a2
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1
      ref_id: CON.1.A2
      name: Datensicherung beim Einsatz kryptografischer Verfahren
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a2.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a2
      ref_id: CON.1.A2.1
      description: "In Datensicherungen M\xDCSSEN kryptografische Schl\xFCssel vom\
        \ IT-Betrieb derart gespeichert oder aufbewahrt werden, dass Unbefugte nicht\
        \ darauf zugreifen k\xF6nnen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a2.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a2
      ref_id: CON.1.A2.2
      description: "Langlebige kryptografische Schl\xFCssel M\xDCSSEN offline, au\xDF\
        erhalb der eingesetzten IT-Systeme, aufbewahrt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a2.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a2
      ref_id: CON.1.A2.3
      description: "Bei einer Langzeitspeicherung verschl\xFCsselter Informationen\
        \ SOLLTE regelm\xE4\xDFig gepr\xFCft werden, ob die verwendeten kryptografischen\
        \ Algorithmen und die Schl\xFCssell\xE4ngen noch f\xFCr die jeweiligen Informationen\
        \ geeignet sind."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a2.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a2
      ref_id: CON.1.A2.4
      description: "Der IT-Betrieb MUSS sicherstellen, dass auf verschl\xFCsselt gespeicherte\
        \ Informationen auch nach l\xE4ngeren Zeitr\xE4umen noch zugegriffen werden\
        \ kann."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a2.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a2
      ref_id: CON.1.A2.5
      description: Verwendete Hard- oder Software mit kryptografischen Funktionen
        SOLLTE archiviert werden.
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1
      ref_id: CON.1.A4
      name: "Geeignetes Schl\xFCsselmanagement"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4
      ref_id: CON.1.A4.1
      description: "In einem geeigneten Schl\xFCsselmanagement f\xFCr kryptografische\
        \ Hard oder Software MUSS festgelegt werden, wie Schl\xFCssel und Zertifikate\
        \ erzeugt, gespeichert, ausgetauscht und wieder gel\xF6scht oder vernichtet\
        \ werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4
      ref_id: CON.1.A4.2
      description: "Es MUSS ferner festgelegt werden, wie die Integrit\xE4t und Authentizit\xE4\
        t der Schl\xFCssel sichergestellt wird."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4
      ref_id: CON.1.A4.3
      description: "Kryptografische Schl\xFCssel SOLLTEN immer mit geeigneten Schl\xFC\
        sselgeneratoren und in einer sicheren Umgebung erzeugt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4
      ref_id: CON.1.A4.4
      description: "In Hard- oder Software mit kryptografischen Funktionen SOLLTEN\
        \ voreingestellte Schl\xFCssel (ausgenommen \xF6ffentliche Zertifikate) ersetzt\
        \ werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4
      ref_id: CON.1.A4.5
      description: "Ein Schl\xFCssel SOLLTE m\xF6glichst nur einem Einsatzzweck dienen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4.6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4
      ref_id: CON.1.A4.6
      description: "Insbesondere SOLLTEN f\xFCr die Verschl\xFCsselung und Signaturbildung\
        \ unterschiedliche Schl\xFCssel benutzt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4.7
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4
      ref_id: CON.1.A4.7
      description: "Kryptografische Schl\xFCssel SOLLTEN mit sicher geltenden Verfahren\
        \ ausgetauscht werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4.8
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4
      ref_id: CON.1.A4.8
      description: "Wenn \xF6ffentliche Schl\xFCssel von Dritten verwendet werden,\
        \ MUSS sichergestellt sein, dass die Schl\xFCssel authentisch sind und die\
        \ Integrit\xE4t der Schl\xFCsseldaten gew\xE4hrleistet ist."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4.9
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4
      ref_id: CON.1.A4.9
      description: "Geheime Schl\xFCssel M\xDCSSEN sicher gespeichert und vor unbefugtem\
        \ Zugriff gesch\xFCtzt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4.10
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4
      ref_id: CON.1.A4.10
      description: "Alle kryptografischen Schl\xFCssel SOLLTEN hinreichend h\xE4ufig\
        \ gewechselt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4.11
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4
      ref_id: CON.1.A4.11
      description: "Grunds\xE4tzlich SOLLTE geregelt werden, wie mit abgelaufenen\
        \ Schl\xFCsseln und damit verbundenen Signaturen verfahren wird."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4.12
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4
      ref_id: CON.1.A4.12
      description: "Falls die G\xFCltigkeit von Schl\xFCsseln oder Zertifikaten zeitlich\
        \ eingeschr\xE4nkt wird, dann MUSS durch die Institution sichergestellt werden,\
        \ dass die zeitlich eingeschr\xE4nkten Zertifikate oder Schl\xFCssel rechtzeitig\
        \ erneuert werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4.13
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4
      ref_id: CON.1.A4.13
      description: "Eine Vorgehensweise SOLLTE f\xFCr den Fall festgelegt werden,\
        \ dass ein privater Schl\xFCssel offengelegt wird."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4.14
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a4
      ref_id: CON.1.A4.14
      description: "Alle erzeugten kryptografischen Schl\xFCssel SOLLTEN sicher aufbewahrt\
        \ und verwaltet werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a5
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1
      ref_id: CON.1.A5
      name: "Sicheres L\xF6schen und Vernichten von kryptografischen Schl\xFCsseln"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a5.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a5
      ref_id: CON.1.A5.1
      description: "Nicht mehr ben\xF6tigte private Schl\xFCssel SOLLTEN sicher gel\xF6\
        scht oder vernichtet werden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a5.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a5
      ref_id: CON.1.A5.2
      description: "Die Vorgehensweisen und eingesetzten Methoden, um nicht mehr ben\xF6\
        tigte private Schl\xFCssel zu l\xF6schen oder zu vernichten, SOLLTEN im Kryptokonzept\
        \ dokumentiert werden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1
      ref_id: CON.1.A9
      name: "Festlegung von Kriterien f\xFCr die Auswahl von Hard- oder Software mit\
        \ kryptografischen Funktionen"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9
      ref_id: CON.1.A9.1
      description: Im Kryptokonzept SOLLTE festgelegt werden, anhand welcher Kriterien
        und Anforderungen Hard- oder Software mit kryptografischen Funktionen ausgesucht
        wird.
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9
      ref_id: CON.1.A9.2
      description: Hierbei SOLLTEN Aspekte wie
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9
      ref_id: CON.1.A9.3
      description: "\u2022 Funktionsumfang,"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9
      ref_id: CON.1.A9.4
      description: "\u2022 Interoperabilit\xE4t,"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9
      ref_id: CON.1.A9.5
      description: "\u2022 Wirtschaftlichkeit,"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9.6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9
      ref_id: CON.1.A9.6
      description: "\u2022 Fehlbedienungs- und Fehlfunktionssicherheit,"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9.7
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9
      ref_id: CON.1.A9.7
      description: "\u2022 technische Aspekte,"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9.8
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9
      ref_id: CON.1.A9.8
      description: "\u2022 personelle und organisatorische Aspekte,"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9.9
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9
      ref_id: CON.1.A9.9
      description: "\u2022 Lebensdauer von kryptografischen Verfahren und der eingesetzten\
        \ Schl\xFCssell\xE4ngen sowie"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9.10
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9
      ref_id: CON.1.A9.10
      description: "\u2022 gesetzliche Rahmenbedingungen"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9.11
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9
      ref_id: CON.1.A9.11
      description: "\u2022 internationale rechtliche Aspekte wie Export- und Importbeschr\xE4\
        nkungen f\xFCr Hard- oder Software mit kryptografischen Funktionen, wenn die\
        \ kryptografischen Verfahren auch im Ausland eingesetzt werden"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9.12
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9
      ref_id: CON.1.A9.12
      description: "\u2022 Datenschutz ber\xFCcksichtigt und im Kryptokonzept dokumentiert\
        \ werden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9.13
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a9
      ref_id: CON.1.A9.13
      description: "Dabei SOLLTE grunds\xE4tzlich zertifizierte Hard- oder Software\
        \ mit kryptografischen Funktionen, deren Zertifizierung die jeweils relevanten\
        \ Aspekte der Kryptografie umfasst, bevorzugt ausgew\xE4hlt werden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1
      ref_id: CON.1.A10
      name: Erstellung eines Kryptokonzepts
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10
      ref_id: CON.1.A10.1
      description: "Ausgehend von dem allgemeinen Sicherheitskonzept der Institution\
        \ SOLLTE ein Kryptokonzept f\xFCr Hard- oder Software mit kryptografischen\
        \ Funktionen erstellt werden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10
      ref_id: CON.1.A10.2
      description: Im Kryptokonzept SOLLTE beschrieben werden,
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10
      ref_id: CON.1.A10.3
      description: "\u2022 wie die Datensicherungen von kryptografischen Schl\xFC\
        sseln durchgef\xFChrt werden,"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10
      ref_id: CON.1.A10.4
      description: "\u2022 wie das Schl\xFCsselmanagement von kryptografischen Schl\xFC\
        sseln ausgestaltet ist sowie"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10
      ref_id: CON.1.A10.5
      description: "\u2022 wie das Krypto-Kastaster erhoben wird."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10.6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10
      ref_id: CON.1.A10.6
      description: Weiterhin SOLLTE im Kryptokonzept beschrieben werden, wie sichergestellt
        wird, dass kryptografische Funktionen von Hard- oder Software sicher konfiguriert
        und korrekt eingesetzt werden.
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10.7
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10
      ref_id: CON.1.A10.7
      description: "Im Kryptokonzept SOLLTEN alle technischen Vorgaben f\xFCr Hard-\
        \ und Software mit kryptografischen Funktionen beschrieben werden (z. B. Anforderungen,\
        \ Konfiguration oder Parameter)."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10.8
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10
      ref_id: CON.1.A10.8
      description: "Um geeignete kryptografische Verfahren auszuw\xE4hlen, SOLLTE\
        \ die BSI TR 02102 ber\xFCcksichtigt werden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10.9
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10
      ref_id: CON.1.A10.9
      description: "Wird das Kryptokonzept ver\xE4ndert oder von ihm abgewichen, SOLLTE\
        \ dies mit dem oder der ISB abgestimmt und dokumentiert werden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10.10
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10
      ref_id: CON.1.A10.10
      description: Das Kryptokonzept SOLLTE allen bekannt sein, die kryptografische
        Verfahren einsetzen.
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10.11
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10
      ref_id: CON.1.A10.11
      description: "Au\xDFerdem SOLLTE es bindend f\xFCr ihre Arbeit sein."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10.12
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a10
      ref_id: CON.1.A10.12
      description: Insbesondere der IT-Betrieb SOLLTE die kryptografischen Vorgaben
        des Kryptokonzepts umsetzen.
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a11
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1
      ref_id: CON.1.A11
      name: Test von Hardware mit kryptografischen Funktionen
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a11.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a11
      ref_id: CON.1.A11.1
      description: "Im Kryptokonzept SOLLTEN Testverfahren f\xFCr Hardware mit kryptografischen\
        \ Funktionen festgelegt werden."
      implementation_groups:
      - E
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a11.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a11
      ref_id: CON.1.A11.2
      description: Bevor Hardware mit kryptografischen Funktionen eingesetzt wird,
        sollte getestet werden, ob die kryptografischen Funktionen korrekt funktionieren.
      implementation_groups:
      - E
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a11.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a11
      ref_id: CON.1.A11.3
      description: "Wenn ein IT-System ge\xE4ndert wird, SOLLTE getestet werden, ob\
        \ die eingesetzte kryptografische Hardware noch ordnungsgem\xE4\xDF funktioniert."
      implementation_groups:
      - E
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a11.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a11
      ref_id: CON.1.A11.4
      description: "Die Konfiguration der kryptografischen Hardware SOLLTE regelm\xE4\
        \xDFig \xFCberpr\xFCft werden."
      implementation_groups:
      - E
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a15
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1
      ref_id: CON.1.A15
      name: "Reaktion auf praktische Schw\xE4chung eines Kryptoverfahrens"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a15.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a15
      ref_id: CON.1.A15.1
      description: "Die Institution SOLLTE mindestens j\xE4hrlich anhand des Krypto-Katasters\
        \ \xFCberpr\xFCfen, ob die eingesetzten kryptografischen Verfahren und die\
        \ zugeh\xF6rigen Parameter noch ausreichend sicher sind und keine bekannten\
        \ Schwachstellen aufweisen."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a15.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a15
      ref_id: CON.1.A15.2
      description: "Im Kryptokonzept SOLLTE ein Prozess f\xFCr den Fall definiert\
        \ und dokumentiert werden, dass Schwachstellen in kryptografischen Verfahren\
        \ auftreten."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a15.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a15
      ref_id: CON.1.A15.3
      description: "Dabei SOLLTE sichergestellt werden, dass das geschw\xE4chte kryptografische\
        \ Verfahren entweder abgesichert oder durch eine geeignete Alternative abgel\xF6\
        st wird, sodass hieraus kein Sicherheitsrisiko entsteht."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a16
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1
      ref_id: CON.1.A16
      name: Physische Absicherung von Hardware mit kryptografischen Funktionen
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a16.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a16
      ref_id: CON.1.A16.1
      description: Im Kryptokonzept SOLLTE festgelegt werden, wie der IT-Betrieb sicherstellt,
        dass nicht unautorisiert physisch auf Hardware mit kryptografischen Funktionen
        zugegriffen werden kann.
      implementation_groups:
      - E
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a17
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1
      ref_id: CON.1.A17
      name: Abstrahlsicherheit
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a17.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a17
      ref_id: CON.1.A17.1
      description: "Es SOLLTE gepr\xFCft werden, ob zus\xE4tzliche Ma\xDFnahmen hinsichtlich\
        \ der Abstrahlsicherheit notwendig sind."
      implementation_groups:
      - E
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a17.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a17
      ref_id: CON.1.A17.2
      description: "Dies SOLLTE insbesondere dann geschehen, wenn staatliche Verschlusssachen\
        \ (VS) der Geheimhaltungsgrade VS-VERTRAULICH und h\xF6her verarbeitet werden."
      implementation_groups:
      - E
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a17.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a17
      ref_id: CON.1.A17.3
      description: "Getroffene Ma\xDFnahmen hinsichtlich der Abstrahlsicherheit SOLLTEN\
        \ im Kryptokonzept dokumentiert werden."
      implementation_groups:
      - E
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a18
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1
      ref_id: CON.1.A18
      name: Kryptografische Ersatzhardware
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a18.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a18
      ref_id: CON.1.A18.1
      description: "Hardware mit kryptografischen Funktionen (z. B. Hardware-Token\
        \ f\xFCr Zwei-Faktor-Authentifizierung) SOLLTE vorr\xE4tig sein."
      implementation_groups:
      - E
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a18.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a18
      ref_id: CON.1.A18.2
      description: "Im Kryptokonzept SOLLTE dokumentiert werden, f\xFCr welche Hardware\
        \ mit kryptografischen Funktionen Ersatzhardware zur Verf\xFCgung steht und\
        \ wie diese ausgetauscht werden kann."
      implementation_groups:
      - E
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a19
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1
      ref_id: CON.1.A19
      name: Erstellung eines Krypto-Katasters
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a19.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a19
      ref_id: CON.1.A19.1
      description: "F\xFCr jede Gruppe von IT-Systemen SOLLTEN folgende Informationen\
        \ im Krypto-Kataster festgehalten werden:"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a19.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a19
      ref_id: CON.1.A19.2
      description: "\u2022 Einsatzzweck (z. B. Festplattenverschl\xFCsselung oder\
        \ Verschl\xFCsselung einer Kommunikationsverbindung)"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a19.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a19
      ref_id: CON.1.A19.3
      description: "\u2022 Zust\xE4ndige"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a19.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a19
      ref_id: CON.1.A19.4
      description: "\u2022 eingesetztes kryptografische Verfahren"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a19.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a19
      ref_id: CON.1.A19.5
      description: "\u2022 eingesetzte Hard- oder Software mit kryptografischen Funktionen"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a19.6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a19
      ref_id: CON.1.A19.6
      description: "\u2022 eingesetzte sicherheitsrelevante Parameter (z. B. Schl\xFC\
        ssell\xE4ngen)"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a20
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1
      ref_id: CON.1.A20
      name: "Manipulationserkennung f\xFCr Hard- oder Software mit kryptografischen\
        \ Funktionen"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a20.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.1.a20
      ref_id: CON.1.A20.1
      description: "Hard- und Software mit kryptografischen Funktionen SOLLTE auf\
        \ Manipulationsversuche hin \xFCberwacht werden."
      implementation_groups:
      - E
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.2
      assessable: false
      depth: 1
      ref_id: CON.2
      name: Datenschutz
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.2.a1
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.2
      ref_id: CON.2.A1
      name: Umsetzung Standard-Datenschutzmodell
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.2.a1.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.2.a1
      ref_id: CON.2.A1.1
      description: "Die gesetzlichen Bestimmungen zum Datenschutz (DSGVO, BDSG, die\
        \ Datenschutzgesetze der Bundesl\xE4nder und gegebenenfalls einschl\xE4gige\
        \ bereichsspezifische Datenschutzregelungen) M\xDCSSEN eingehalten werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.2.a1.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.2.a1
      ref_id: CON.2.A1.2
      description: "Wird die SDM-Methodik nicht ber\xFCcksichtigt, die Ma\xDFnahmen\
        \ also nicht auf der Basis der Gew\xE4hrleistungsziele systematisiert und\
        \ mit dem Referenzma\xDFnahmen-Katalog des SDM abgeglichen, SOLLTE dies begr\xFC\
        ndet und dokumentiert werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3
      assessable: false
      depth: 1
      ref_id: CON.3
      name: Datensicherungskonzept
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3
      ref_id: CON.3.A1
      name: "Erhebung der Einflussfaktoren f\xFCr Datensicherungen"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1
      ref_id: CON.3.A1.1
      description: "Der IT-Betrieb MUSS f\xFCr jedes IT-System und darauf ausgef\xFC\
        hrten Anwendungen die Rahmenbedingungen f\xFCr die Datensicherung erheben."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1
      ref_id: CON.3.A1.2
      description: "Dazu M\xDCSSEN die Fachverantwortlichen f\xFCr die Anwendungen\
        \ ihre Anforderungen an die Datensicherung definieren."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1
      ref_id: CON.3.A1.3
      description: 'Der IT-Betrieb MUSS mindestens die nachfolgenden Rahmenbedingungen
        mit den Fachverantwortlichen abstimmen:'
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1
      ref_id: CON.3.A1.4
      description: "\u2022 zu sichernde Daten,"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1
      ref_id: CON.3.A1.5
      description: "\u2022 Speichervolumen,"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1.6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1
      ref_id: CON.3.A1.6
      description: "\u2022 \xC4nderungsvolumen,"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1.7
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1
      ref_id: CON.3.A1.7
      description: "\u2022 \xC4nderungszeitpunkte,"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1.8
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1
      ref_id: CON.3.A1.8
      description: "\u2022 Verf\xFCgbarkeitsanforderungen,"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1.9
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1
      ref_id: CON.3.A1.9
      description: "\u2022 Vertraulichkeitsanforderungen,"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1.10
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1
      ref_id: CON.3.A1.10
      description: "\u2022 Integrit\xE4tsbedarf,"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1.11
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1
      ref_id: CON.3.A1.11
      description: "\u2022 rechtliche Anforderungen,"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1.12
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1
      ref_id: CON.3.A1.12
      description: "\u2022 Anforderungen an das L\xF6schen und Vernichten der Daten\
        \ sowie"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1.13
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1
      ref_id: CON.3.A1.13
      description: "\u2022 Zust\xE4ndigkeiten f\xFCr die Datensicherung."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1.14
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1
      ref_id: CON.3.A1.14
      description: "Die Einflussfaktoren M\xDCSSEN nachvollziehbar und auf geeignete\
        \ Weise festgehalten werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1.15
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a1
      ref_id: CON.3.A1.15
      description: "Neue Anforderungen M\xDCSSEN zeitnah ber\xFCcksichtigt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a2
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3
      ref_id: CON.3.A2
      name: "Festlegung der Verfahrensweisen f\xFCr die Datensicherung"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a2.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a2
      ref_id: CON.3.A2.1
      description: Der IT-Betrieb MUSS Verfahren festlegen, wie die Daten gesichert
        werden.
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a2.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a2
      ref_id: CON.3.A2.2
      description: "F\xFCr die Datensicherungsverfahren M\xDCSSEN Art, H\xE4ufigkeit\
        \ und Zeitpunkte der Datensicherungen bestimmt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a2.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a2
      ref_id: CON.3.A2.3
      description: Dies MUSS wiederum auf Basis der erhobenen Einflussfaktoren und
        in Abstimmung mit den jeweiligen Fachverantwortlichen geschehen.
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a2.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a2
      ref_id: CON.3.A2.4
      description: "Auch MUSS definiert sein, welche Speichermedien benutzt werden\
        \ und wie die Transport- und Aufbewahrungsmodalit\xE4ten ausgestaltet sein\
        \ m\xFCssen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a2.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a2
      ref_id: CON.3.A2.5
      description: "Datensicherungen M\xDCSSEN immer auf separaten Speichermedien\
        \ f\xFCr die Datensicherung gespeichert werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a2.6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a2
      ref_id: CON.3.A2.6
      description: "Besonders sch\xFCtzenswerte Speichermedien f\xFCr die Datensicherung\
        \ SOLLTEN nur w\xE4hrend der Datensicherung und Datenwiederherstellung mit\
        \ dem Netz der Institution oder dem Ursprungssystem verbunden werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a2.7
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a2
      ref_id: CON.3.A2.7
      description: "In virtuellen Umgebungen sowie f\xFCr Storage-Systeme SOLLTE gepr\xFC\
        ft werden, ob das IT-System erg\xE4nzend durch Snapshot-Mechanismen gesichert\
        \ werden kann, um hierdurch mehrere schnell wiederherstellbare Zwischenversionen\
        \ zwischen den vollst\xE4ndigen Datensicherungen zu erstellen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3
      ref_id: CON.3.A4
      name: "Erstellung von Datensicherungspl\xE4nen"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4
      ref_id: CON.3.A4.1
      description: "Der IT-Betrieb MUSS Datensicherungspl\xE4ne je IT-System oder\
        \ Gruppe von IT-Systemen auf Basis der festgelegten Verfahrensweise f\xFC\
        r die Datensicherung erstellen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4
      ref_id: CON.3.A4.2
      description: "Diese M\xDCSSEN festlegen, welche Anforderungen f\xFCr die Datensicherung\
        \ mindestens einzuhalten sind."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4
      ref_id: CON.3.A4.3
      description: "Die Datensicherungspl\xE4ne M\xDCSSEN mindestens eine kurze Beschreibung\
        \ dazu enthalten:"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4
      ref_id: CON.3.A4.4
      description: "\u2022 welche IT-Systeme und welche darauf befindlichen Daten\
        \ durch welche Datensicherung gesichert werden,"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4
      ref_id: CON.3.A4.5
      description: "\u2022 in welcher Reihenfolge IT-System und Anwendungen wiederhergestellt\
        \ werden,"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4.6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4
      ref_id: CON.3.A4.6
      description: "\u2022 wie die Datensicherungen erstellt und wiederhergestellt\
        \ werden k\xF6nnen,"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4.7
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4
      ref_id: CON.3.A4.7
      description: "\u2022 wie lange Datensicherungen aufbewahrt werden,"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4.8
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4
      ref_id: CON.3.A4.8
      description: "\u2022 wie die Datensicherungen vor unbefugtem Zugriff und \xDC\
        berschreiben gesichert werden,"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4.9
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4
      ref_id: CON.3.A4.9
      description: "\u2022 welche Parameter zu w\xE4hlen sind sowie"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4.10
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a4
      ref_id: CON.3.A4.10
      description: "\u2022 welche Hard- und Software eingesetzt wird."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a5
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3
      ref_id: CON.3.A5
      name: "Regelm\xE4\xDFige Datensicherung"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a5.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a5
      ref_id: CON.3.A5.1
      description: "Regelm\xE4\xDFige Datensicherungen M\xDCSSEN gem\xE4\xDF den Datensicherungspl\xE4\
        nen erstellt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a5.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a5
      ref_id: CON.3.A5.2
      description: "Alle Mitarbeitenden M\xDCSSEN \xFCber die Regelungen zur Datensicherung\
        \ informiert sein."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a5.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a5
      ref_id: CON.3.A5.3
      description: "Auch M\xDCSSEN sie dar\xFCber informiert werden, welche Aufgaben\
        \ sie bei der Erstellung von Datensicherungen haben."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3
      ref_id: CON.3.A6
      name: Entwicklung eines Datensicherungskonzepts
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6
      ref_id: CON.3.A6.1
      description: 'Die Institution SOLLTE ein Datensicherungskonzept erstellen, dass
        mindestens die nachfolgenden Punkte umfasst:'
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6
      ref_id: CON.3.A6.2
      description: "\u2022 Definitionen zu wesentlichen Aspekten der Datensicherung\
        \ (z. B. unterschiedliche Verfahrensweisen zur Datensicherung),"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6
      ref_id: CON.3.A6.3
      description: "\u2022 Gef\xE4hrdungslage,"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6
      ref_id: CON.3.A6.4
      description: "\u2022 Einflussfaktoren je IT-System oder Gruppe von IT-Systemen,"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6
      ref_id: CON.3.A6.5
      description: "\u2022 Datensicherungspl\xE4ne je IT-System oder Gruppe von IT-Systemen\
        \ sowie"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6.6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6
      ref_id: CON.3.A6.6
      description: "\u2022 relevante Ergebnisse des Notfallmanagements/BCM, insbesondere\
        \ die Recovery Point Objective (RPO) je IT-System oder Gruppe von IT-Systemen."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6.7
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6
      ref_id: CON.3.A6.7
      description: Der IT-Betrieb SOLLTE das Datensicherungskonzept mit den jeweiligen
        Fachverantwortlichen der betreffenden Anwendungen abstimmen.
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6.8
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6
      ref_id: CON.3.A6.8
      description: "Wird ein zentrales Datensicherungssystem f\xFCr die Sicherung\
        \ der Daten eingesetzt, SOLLTE beachtet werden, dass sich aufgrund der Konzentration\
        \ der Daten ein h\xF6herer Schutzbedarf ergeben kann."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6.9
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6
      ref_id: CON.3.A6.9
      description: "Datensicherungen SOLLTEN regelm\xE4\xDFig gem\xE4\xDF dem Datensicherungskonzept\
        \ durchgef\xFChrt werden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6.10
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6
      ref_id: CON.3.A6.10
      description: Das Datensicherungskonzept selbst SOLLTE auch in einer Datensicherung
        enthalten sein.
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6.11
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6
      ref_id: CON.3.A6.11
      description: "Die im Datensicherungskonzept enthaltenen technischen Informationen,\
        \ um Systeme und Datensicherungen wiederherzustellen (Datensicherungspl\xE4\
        ne), SOLLTEN in der Art gesichert werden, dass sie auch verf\xFCgbar sind,\
        \ wenn die Datensicherungssysteme selbst ausfallen."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6.12
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6
      ref_id: CON.3.A6.12
      description: "Die Mitarbeitenden SOLLTEN \xFCber den Teil des Datensicherungskonzepts\
        \ unterrichtet werden, der sie betrifft."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6.13
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a6
      ref_id: CON.3.A6.13
      description: "Regelm\xE4\xDFig SOLLTE kontrolliert werden, ob das Datensicherungskonzept\
        \ korrekt umgesetzt wird."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a7
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3
      ref_id: CON.3.A7
      name: Beschaffung eines geeigneten Datensicherungssystems
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a7.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a7
      ref_id: CON.3.A7.1
      description: "Bevor ein Datensicherungssystem beschafft wird, SOLLTE der IT-Betrieb\
        \ eine Anforderungsliste erstellen, nach der die am Markt erh\xE4ltlichen\
        \ Produkte bewertet werden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a7.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a7
      ref_id: CON.3.A7.2
      description: "Die angeschafften Datensicherungssysteme SOLLTEN die Anforderungen\
        \ des Datensicherungskonzepts der Institution erf\xFCllen."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a9
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3
      ref_id: CON.3.A9
      name: "Voraussetzungen f\xFCr die Online-Datensicherung"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a9.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a9
      ref_id: CON.3.A9.1
      description: "Wenn f\xFCr die Datensicherung ein Online-Speicher genutzt werden\
        \ soll, SOLLTEN mindestens folgende Punkte vertraglich geregelt werden:"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a9.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a9
      ref_id: CON.3.A9.2
      description: "\u2022 Gestaltung des Vertrages,"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a9.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a9
      ref_id: CON.3.A9.3
      description: "\u2022 Ort der Datenspeicherung,"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a9.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a9
      ref_id: CON.3.A9.4
      description: "\u2022 Vereinbarungen zur Dienstg\xFCte (SLA), insbesondere in\
        \ Hinsicht auf die Verf\xFCgbarkeit,"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a9.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a9
      ref_id: CON.3.A9.5
      description: "\u2022 geeignete Authentisierungsmethoden f\xFCr den Zugriff,"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a9.6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a9
      ref_id: CON.3.A9.6
      description: "\u2022 Verschl\xFCsselung der Daten auf dem Online-Speicher sowie"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a9.7
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a9
      ref_id: CON.3.A9.7
      description: "\u2022 Verschl\xFCsselung auf dem Transportweg."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a9.8
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a9
      ref_id: CON.3.A9.8
      description: "Zudem SOLLTEN Sicherungssystem und Netzanbindung so beschaffen\
        \ sein, dass die zul\xE4ssigen Sicherungs- bzw. Wiederherstellungszeiten nicht\
        \ \xFCberschritten werden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a12
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3
      ref_id: CON.3.A12
      name: "Sichere Aufbewahrung der Speichermedien f\xFCr die Datensicherungen"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a12.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a12
      ref_id: CON.3.A12.1
      description: "Die Speichermedien f\xFCr die Datensicherung M\xDCSSEN r\xE4umlich\
        \ getrennt von den gesicherten IT-Systemen aufbewahrt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a12.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a12
      ref_id: CON.3.A12.2
      description: Sie SOLLTEN in einem anderen Brandabschnitt aufbewahrt werden.
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a12.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a12
      ref_id: CON.3.A12.3
      description: "Der Aufbewahrungsort SOLLTE so klimatisiert sein, dass die Datentr\xE4\
        ger entsprechend der zeitlichen Vorgaben des Datensicherungskonzepts aufbewahrt\
        \ werden k\xF6nnen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a13
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3
      ref_id: CON.3.A13
      name: Einsatz kryptografischer Verfahren bei der Datensicherung
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a13.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a13
      ref_id: CON.3.A13.1
      description: "Um die Vertraulichkeit der gesicherten Daten zu gew\xE4hrleisten,\
        \ SOLLTE der IT-Betrieb alle Datensicherungen verschl\xFCsseln."
      implementation_groups:
      - E
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a13.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a13
      ref_id: CON.3.A13.2
      description: "Es SOLLTE sichergestellt werden, dass sich die verschl\xFCsselten\
        \ Daten auch nach l\xE4ngerer Zeit wieder einspielen lassen."
      implementation_groups:
      - E
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a13.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a13
      ref_id: CON.3.A13.3
      description: "Verwendete kryptografische Schl\xFCssel SOLLTEN mit einer getrennten\
        \ Datensicherung gesch\xFCtzt werden."
      implementation_groups:
      - E
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a14
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3
      ref_id: CON.3.A14
      name: Schutz von Datensicherungen
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a14.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a14
      ref_id: CON.3.A14.1
      description: "Die erstellten Datensicherungen M\xDCSSEN in geeigneter Weise\
        \ vor unbefugtem Zugriff gesch\xFCtzt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a14.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a14
      ref_id: CON.3.A14.2
      description: "Hierbei MUSS insbesondere sichergestellt werden, dass Datensicherungen\
        \ nicht absichtlich oder unbeabsichtigt \xFCberschrieben werden k\xF6nnen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a14.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a14
      ref_id: CON.3.A14.3
      description: "IT-Systeme, die f\xFCr die Datensicherung eingesetzt werden, SOLLTEN\
        \ einen schreibenden Zugriff auf die Speichermedien f\xFCr die Datensicherung\
        \ nur f\xFCr autorisierte Datensicherungen oder autorisierte Administrationst\xE4\
        tigkeiten gestatten."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a14.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a14
      ref_id: CON.3.A14.4
      description: "Alternativ SOLLTEN die Speichermedien f\xFCr die Datensicherung\
        \ nur f\xFCr autorisierte Datensicherungen oder autorisierte Administrationst\xE4\
        tigkeiten mit den entsprechenden IT-Systemen verbunden werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a15
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3
      ref_id: CON.3.A15
      name: "Regelm\xE4\xDFiges Testen der Datensicherungen"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a15.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.3.a15
      ref_id: CON.3.A15.1
      description: "Es MUSS regelm\xE4\xDFig getestet werden, ob die Datensicherungen\
        \ wie gew\xFCnscht funktionieren, vor allem, ob gesicherte Daten einwandfrei\
        \ und in angemessener Zeit zur\xFCckgespielt werden k\xF6nnen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6
      assessable: false
      depth: 1
      ref_id: CON.6
      name: "L\xF6schen und Vernichten"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a1
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6
      ref_id: CON.6.A1
      name: "Regelung f\xFCr die L\xF6schung und Vernichtung von Informationen"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a1.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a1
      ref_id: CON.6.A1.1
      description: "Die Institution MUSS das L\xF6schen und Vernichten von Informationen\
        \ regeln."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a1.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a1
      ref_id: CON.6.A1.2
      description: "Dabei M\xDCSSEN die Fachverantwortlichen f\xFCr jedes Fachverfahren\
        \ bzw. Gesch\xE4ftsprozess regeln, welche Informationen unter welchen Voraussetzungen\
        \ gel\xF6scht und entsorgt werden m\xFCssen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a1.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a1
      ref_id: CON.6.A1.3
      description: "Hierbei M\xDCSSEN die gesetzlichen Bestimmungen beachtet werden,"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a1.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a1
      ref_id: CON.6.A1.4
      description: "\u2022 die einerseits minimale Aufbewahrungsfristen bestimmen\
        \ sowie"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a1.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a1
      ref_id: CON.6.A1.5
      description: "\u2022 anderseits maximale Aufbewahrungszeiten und ein Anrecht\
        \ auf das sichere L\xF6schen von personenbezogenen Daten garantieren."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a1.6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a1
      ref_id: CON.6.A1.6
      description: "Sind personenbezogene Daten betroffen, dann M\xDCSSEN die Regelungen\
        \ zum L\xF6schen und Vernichten mit Bezug zu personenbezogenen Daten mit dem\
        \ oder der Datenschutzbeauftragten abgestimmt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a1.7
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a1
      ref_id: CON.6.A1.7
      description: "Das L\xF6schen und Vernichten von Informationen MUSS dabei f\xFC\
        r Fachverfahren, Gesch\xE4ftsprozesse und IT-Systeme geregelt werden, bevor\
        \ diese produktiv eingef\xFChrt worden sind."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a2
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6
      ref_id: CON.6.A2
      name: "Ordnungsgem\xE4\xDFes L\xF6schen und Vernichten von sch\xFCtzenswerten\
        \ Betriebsmitteln und Informationen"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a2.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a2
      ref_id: CON.6.A2.1
      description: "Bevor schutzbed\xFCrftigen Informationen und Datentr\xE4ger entsorgt\
        \ werden, M\xDCSSEN sie sicher gel\xF6scht oder vernichtet werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a2.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a2
      ref_id: CON.6.A2.2
      description: Zu diesem Zweck MUSS der Prozess klar geregelt werden.
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a2.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a2
      ref_id: CON.6.A2.3
      description: "Einzelne Mitarbeitende M\xDCSSEN dar\xFCber informiert werden,\
        \ welche Aufgaben sie zum sicheren L\xF6schen und Vernichten erf\xFCllen m\xFC\
        ssen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a2.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a2
      ref_id: CON.6.A2.4
      description: "Der Prozess zum L\xF6schen und Vernichten von Datentr\xE4gern\
        \ MUSS auch Datensicherungen, wenn erforderlich, ber\xFCcksichtigen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a2.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a2
      ref_id: CON.6.A2.5
      description: "Der Standort von Vernichtungseinrichtungen auf dem Gel\xE4nde\
        \ der Institution MUSS klar geregelt sein."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a2.6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a2
      ref_id: CON.6.A2.6
      description: "Dabei MUSS auch ber\xFCcksichtigt werden, dass Informationen und\
        \ Betriebsmittel eventuell erst gesammelt und erst sp\xE4ter gel\xF6scht oder\
        \ vernichtet werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a2.7
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a2
      ref_id: CON.6.A2.7
      description: Eine solche zentrale Sammelstelle MUSS vor unbefugten Zugriffen
        abgesichert werden.
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a4
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6
      ref_id: CON.6.A4
      name: "Auswahl geeigneter Verfahren zur L\xF6schung oder Vernichtung von Datentr\xE4\
        gern"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a4.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a4
      ref_id: CON.6.A4.1
      description: "Die Institution SOLLTE \xFCberpr\xFCfen, ob die Mindestanforderungen\
        \ an die Verfahrensweisen zur L\xF6schung und Vernichtung (siehe dazu CON.6.A12\
        \ Mindestanforderungen an Verfahren zur L\xF6schung und Vernichtung) f\xFC\
        r die tats\xE4chlich eingesetzten Datentr\xE4ger und darauf befindlichen Informationen\
        \ ausreichend sicher sind."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a4.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a4
      ref_id: CON.6.A4.2
      description: "Auf diesem Ergebnis aufbauend SOLLTE die Institution geeignete\
        \ Verfahren zur L\xF6schung und Vernichtung je Datentr\xE4ger bestimmen."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a4.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a4
      ref_id: CON.6.A4.3
      description: "F\xFCr alle eingesetzten Datentr\xE4gerarten, die von der Institution\
        \ selbst vernichtet bzw. gel\xF6scht werden, SOLLTE es geeignete Ger\xE4te\
        \ und Werkzeuge geben, mit denen die zust\xE4ndigen Mitarbeitenden die gespeicherten\
        \ Informationen l\xF6schen oder vernichten k\xF6nnen."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a4.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a4
      ref_id: CON.6.A4.4
      description: "Die ausgew\xE4hlten Verfahrensweisen SOLLTEN allen verantwortlichen\
        \ Mitarbeitenden bekannt sein."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a4.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a4
      ref_id: CON.6.A4.5
      description: "Die Institution SOLLTE regelm\xE4\xDFig kontrollieren, ob die\
        \ gew\xE4hlten Verfahren noch dem Stand der Technik entsprechen und f\xFC\
        r die Institution noch ausreichend sicher sind."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a8
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6
      ref_id: CON.6.A8
      name: "Erstellung einer Richtlinie f\xFCr die L\xF6schung und Vernichtung von\
        \ Informationen"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a8.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a8
      ref_id: CON.6.A8.1
      description: "Die Regelungen der Institution zum L\xF6schen und Vernichten SOLLTEN\
        \ in einer Richtlinie dokumentiert werden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a8.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a8
      ref_id: CON.6.A8.2
      description: "Die Richtlinie SOLLTE allen relevanten Mitarbeitenden der Institution\
        \ bekannt sein und die Grundlage f\xFCr ihre Arbeit und ihr Handeln bilden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a8.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a8
      ref_id: CON.6.A8.3
      description: "Inhaltlich SOLLTE die Richtlinie alle eingesetzten Datentr\xE4\
        ger, Anwendungen, IT-Systeme und sonstigen Betriebsmittel und Informationen\
        \ enthalten, die vom L\xF6schen und Vernichten betroffen sind."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a8.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a8
      ref_id: CON.6.A8.4
      description: "Es SOLLTE regelm\xE4\xDFig und stichprobenartig \xFCberpr\xFC\
        ft werden, ob die Mitarbeitenden sich an die Richtlinie halten."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a8.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a8
      ref_id: CON.6.A8.5
      description: "Die Richtlinie SOLLTE regelm\xE4\xDFig aktualisiert werden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a11
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6
      ref_id: CON.6.A11
      name: "L\xF6schung und Vernichtung von Datentr\xE4gern durch externe Dienstleistende"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a11.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a11
      ref_id: CON.6.A11.1
      description: "Wenn externe Dienstleistende beauftragt werden, MUSS der Prozess\
        \ zum L\xF6schen und Vernichten ausreichend sicher und nachvollziehbar sein."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a11.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a11
      ref_id: CON.6.A11.2
      description: "Die von externen Dienstleistenden eingesetzten Verfahrensweisen\
        \ zum sicheren L\xF6schen und Vernichten M\xDCSSEN mindestens die institutionsinternen\
        \ Anforderungen an die Verfahrensweisen zur L\xF6schung und Vernichtung erf\xFC\
        llen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a11.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a11
      ref_id: CON.6.A11.3
      description: "Die mit der L\xF6schung und Vernichtung beauftragten Unternehmen\
        \ SOLLTEN regelm\xE4\xDFig daraufhin \xFCberpr\xFCft werden, ob der L\xF6\
        sch- bzw. Vernichtungsvorgang noch korrekt abl\xE4uft."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6
      ref_id: CON.6.A12
      name: "Mindestanforderungen an Verfahren zur L\xF6schung und Vernichtung"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12
      ref_id: CON.6.A12.1
      description: "Die Institution MUSS mindestens die nachfolgenden Verfahren zum\
        \ L\xF6schen und Vernichten von sch\xFCtzenswerten Datentr\xE4gern einsetzen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12
      ref_id: CON.6.A12.2
      description: "Diese Verfahren SOLLTEN in Abh\xE4ngigkeit des Schutzbedarfs der\
        \ verarbeiteten Daten \xFCberpr\xFCft und, falls erforderlich, angepasst werden:"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12
      ref_id: CON.6.A12.3
      description: "\u2022 Digitale wiederbeschreibbare Datentr\xE4ger M\xDCSSEN vollst\xE4\
        ndig mit einem Datenstrom aus Zufallswerten (z. B. PRNG Stream) \xFCberschrieben\
        \ werden, wenn sie nicht verschl\xFCsselt eingesetzt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12
      ref_id: CON.6.A12.4
      description: "\u2022 Wenn digitale Datentr\xE4ger verschl\xFCsselt eingesetzt\
        \ werden, M\xDCSSEN sie durch ein sicheres L\xF6schen des Schl\xFCssels unter\
        \ Beachtung des Kryptokonzepts gel\xF6scht werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12
      ref_id: CON.6.A12.5
      description: "\u2022 Optische Datentr\xE4ger M\xDCSSEN mindestens nach Sicherheitsstufe\
        \ O-3 entsprechend der ISO/IEC 21964-2 vernichtet werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12.6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12
      ref_id: CON.6.A12.6
      description: "\u2022 Smartphones oder sonstige Smart Devices SOLLTEN entsprechend\
        \ des Kryptokonzepts verschl\xFCsselt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12.7
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12
      ref_id: CON.6.A12.7
      description: "Smartphones oder sonstige Smart Devices M\xDCSSEN auf die Werkseinstellung\
        \ (Factory Reset) zur\xFCckgesetzt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12.8
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12
      ref_id: CON.6.A12.8
      description: "Anschlie\xDFend SOLLTE der Einrichtungsvorgang zum Abschluss des\
        \ L\xF6schvorgangs durchgef\xFChrt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12.9
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12
      ref_id: CON.6.A12.9
      description: "\u2022 IoT Ger\xE4te M\xDCSSEN auf den Werkszustand zur\xFCckgesetzt\
        \ werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12.10
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12
      ref_id: CON.6.A12.10
      description: "Anschlie\xDFend M\xDCSSEN alle in den IoT-Ger\xE4ten hinterlegten\
        \ Zugangsdaten ge\xE4ndert werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12.11
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12
      ref_id: CON.6.A12.11
      description: "\u2022 Papier MUSS mindestens nach Sicherheitsstufe P-3 entsprechend\
        \ der ISO/IEC 21964-2 vernichtet werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12.12
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12
      ref_id: CON.6.A12.12
      description: "\u2022 In sonstigen Ger\xE4ten integrierte Datentr\xE4ger M\xDC\
        SSEN \xFCber die integrierten Funktionen sicher gel\xF6scht werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12.13
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a12
      ref_id: CON.6.A12.13
      description: "Ist das nicht m\xF6glich, M\xDCSSEN die Massenspeicher ausgebaut\
        \ und entweder wie herk\xF6mmliche digitale Datentr\xE4ger von einem separatem\
        \ IT-System aus sicher gel\xF6scht werden oder mindestens nach Sicherheitsstufe\
        \ E-3 bzw. H-3 entsprechend der ISO/IEC 21964-2 vernichtet werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a13
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6
      ref_id: CON.6.A13
      name: "Vernichtung defekter digitaler Datentr\xE4ger"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a13.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a13
      ref_id: CON.6.A13.1
      description: "K\xF6nnen digitale Datentr\xE4ger mit sch\xFCtzenswerten Informationen\
        \ aufgrund eines Defekts nicht sicher entsprechend der Verfahren zur L\xF6\
        schung von Datentr\xE4gern gel\xF6scht werden, dann SOLLTEN diese mindestens\
        \ entsprechend der Sicherheitsstufe 3 nach ISO/IEC 21964-2 vernichtet werden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a13.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a13
      ref_id: CON.6.A13.2
      description: "Alternativ SOLLTE f\xFCr den Fall, dass defekte Datentr\xE4ger\
        \ ausgetauscht oder repariert werden, vertraglich mit den hierzu beauftragten\
        \ Dienstleistenden vereinbart werden, dass diese Datentr\xE4ger durch die\
        \ Dienstleistenden sicher vernichtet oder gel\xF6scht werden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a13.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a13
      ref_id: CON.6.A13.3
      description: "Die Verfahrensweisen der Dienstleistenden SOLLTEN hierbei mindestens\
        \ die institutionsinternen Anforderungen an die Verfahrensweisen zur L\xF6\
        schung und Vernichtung erf\xFCllen."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a14
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6
      ref_id: CON.6.A14
      name: "Vernichten von Datentr\xE4gern auf erh\xF6hter Sicherheitsstufe"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a14.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a14
      ref_id: CON.6.A14.1
      description: "Die Institution SOLLTE die erforderliche Sicherheitsstufe zur\
        \ Vernichtung von Datentr\xE4gern entsprechend der ISO/IEC 21964-1 anhand\
        \ des Schutzbedarf der zu vernichtenden Datentr\xE4ger bestimmen."
      implementation_groups:
      - E
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a14.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.6.a14
      ref_id: CON.6.A14.2
      description: "Die Datentr\xE4ger SOLLTEN entsprechend der zugewiesenen Sicherheitsstufe\
        \ nach ISO/IEC 21964-2 vernichtet werden."
      implementation_groups:
      - E
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7
      assessable: false
      depth: 1
      ref_id: CON.7
      name: Informationssicherheit auf Auslandsreisen
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a1
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7
      ref_id: CON.7.A1
      name: Sicherheitsrichtlinie zur Informationssicherheit auf Auslandsreisen
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a1.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a1
      ref_id: CON.7.A1.1
      description: "Alle f\xFCr die Informationssicherheit relevanten Aspekte, die\
        \ in Verbindung mit den T\xE4tigkeiten im Ausland stehen, M\xDCSSEN betrachtet\
        \ und geregelt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a1.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a1
      ref_id: CON.7.A1.2
      description: "Die Sicherheitsma\xDFnahmen, die in diesem Zusammenhang ergriffen\
        \ werden, M\xDCSSEN in einer Sicherheitsrichtlinie zur Informationssicherheit\
        \ auf Auslandsreisen dokumentiert werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a1.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a1
      ref_id: CON.7.A1.3
      description: "Diese Sicherheitsrichtlinie oder ein entsprechendes Merkblatt\
        \ mit zu beachtenden Sicherheitsma\xDFnahmen M\xDCSSEN transnational agierenden\
        \ Mitarbeitenden ausgeh\xE4ndigt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a1.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a1
      ref_id: CON.7.A1.4
      description: "Erweiternd MUSS ein Sicherheitskonzept zum Umgang mit tragbaren\
        \ IT-Systemen auf Auslandsreisen erstellt werden, das alle Sicherheitsanforderungen\
        \ und -ma\xDFnahmen angemessen detailliert beschreibt."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a1.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a1
      ref_id: CON.7.A1.5
      description: "Die Umsetzung des Sicherheitskonzeptes MUSS regelm\xE4\xDFig \xFC\
        berpr\xFCft werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a2
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7
      ref_id: CON.7.A2
      name: Sensibilisierung der Mitarbeitenden zur Informationssicherheit auf Auslandsreisen
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a2.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a2
      ref_id: CON.7.A2.1
      description: "Benutzende M\xDCSSEN im verantwortungsvollen Umgang mit Informationstechnik\
        \ bzw. tragbaren IT-Systemen auf Auslandsreisen sensibilisiert und geschult\
        \ werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a2.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a2
      ref_id: CON.7.A2.2
      description: "Benutzende M\xDCSSEN die Gefahren kennen, die durch den unangemessenen\
        \ Umgang mit Informationen, die unsachgem\xE4\xDFe Vernichtung von Daten und\
        \ Datentr\xE4gern oder durch Schadsoftware und den unsicheren Datenaustausch\
        \ entstehen k\xF6nnen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a2.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a2
      ref_id: CON.7.A2.3
      description: "Au\xDFerdem M\xDCSSEN die Grenzen der eingesetzten Sicherheitsma\xDF\
        nahmen aufgezeigt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a2.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a2
      ref_id: CON.7.A2.4
      description: "Die Benutzenden M\xDCSSEN dazu bef\xE4higt und darin best\xE4\
        rkt werden, einem Verlust oder Diebstahl vorzubeugen bzw. bei Ungereimtheiten\
        \ fachliche Beratung einzuholen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a2.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a2
      ref_id: CON.7.A2.5
      description: "Au\xDFerdem SOLLTEN Mitarbeitende auf gesetzliche Anforderungen\
        \ einzelner Reiseziele in Bezug auf die Reisesicherheit hingewiesen werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a2.6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a2
      ref_id: CON.7.A2.6
      description: "Hierzu MUSS sich der oder die Informationssicherheitsbeauftragte\
        \ \xFCber die gesetzlichen Anforderungen im Rahmen der Informationssicherheit\
        \ (z. B. Datenschutz, IT-Sicherheitsgesetz) informieren und die Mitarbeitenden\
        \ sensibilisieren."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a3
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7
      ref_id: CON.7.A3
      name: "Identifikation l\xE4nderspezifischer Regelungen, Reise- und Umgebungsbedingungen"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a3.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a3
      ref_id: CON.7.A3.1
      description: "Vor Reiseantritt M\xDCSSEN die jeweils geltenden Regelungen der\
        \ einzelnen L\xE4nder durch das Informationssicherheitsmanagement bzw. die\
        \ Personalabteilung gepr\xFCft und an die entsprechenden Mitarbeitenden kommuniziert\
        \ werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a3.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a3
      ref_id: CON.7.A3.2
      description: "Die Institution MUSS geeignete Regelungen und Ma\xDFnahmen erstellen,\
        \ umsetzen und kommunizieren, die den angemessenen Schutz interner Daten erm\xF6\
        glichen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a3.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a3
      ref_id: CON.7.A3.3
      description: "Dabei M\xDCSSEN die individuellen Reise- und Umgebungsbedingungen\
        \ ber\xFCcksichtigt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a3.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a3
      ref_id: CON.7.A3.4
      description: "Au\xDFerdem M\xDCSSEN sich Mitarbeitende vor Reiseantritt mit\
        \ den klimatischen Bedingungen des Reiseziels auseinandersetzen und abkl\xE4\
        ren, welche Schutzma\xDFnahmen er f\xFCr sich ben\xF6tigt, z. B. Impfungen,\
        \ und welche Schutzma\xDFnahmen f\xFCr die mitgef\xFChrte Informationstechnik\
        \ n\xF6tig sind."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a4
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7
      ref_id: CON.7.A4
      name: Verwendung von Sichtschutz-Folien
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a4.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a4
      ref_id: CON.7.A4.1
      description: "Benutzende M\xDCSSEN insbesondere im Ausland darauf achten, dass\
        \ bei der Arbeit mit mobilen IT-Ger\xE4ten keine sch\xFCtzenswerten Informationen\
        \ ausgesp\xE4ht werden k\xF6nnen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a4.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a4
      ref_id: CON.7.A4.2
      description: "Dazu MUSS ein angemessener Sichtschutz verwendet werden, der den\
        \ gesamten Bildschirm des jeweiligen Ger\xE4tes umfasst und ein Aussp\xE4\
        hen von Informationen erschwert."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a5
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7
      ref_id: CON.7.A5
      name: Verwendung der Bildschirm-/Code-Sperre
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a5.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a5
      ref_id: CON.7.A5.1
      description: "Eine Bildschirm- bzw. Code-Sperre, die verhindert, dass Dritte\
        \ auf die Daten mobiler Endger\xE4te zugreifen k\xF6nnen, MUSS verwendet werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a5.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a5
      ref_id: CON.7.A5.2
      description: "Die Benutzenden M\xDCSSEN dazu einen angemessenen Code bzw. ein\
        \ sicheres Ger\xE4tepasswort verwenden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a5.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a5
      ref_id: CON.7.A5.3
      description: "Die Bildschirmsperre MUSS sich nach einer kurzen Zeit der Inaktivit\xE4\
        t automatisch aktivieren."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a6
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7
      ref_id: CON.7.A6
      name: Zeitnahe Verlustmeldung
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a6.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a6
      ref_id: CON.7.A6.1
      description: "Mitarbeitende M\xDCSSEN ihrer Institution umgehend melden, wenn\
        \ Informationen, IT-Systeme oder Datentr\xE4ger verloren gegangen sind oder\
        \ gestohlen wurden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a6.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a6
      ref_id: CON.7.A6.2
      description: "Hierf\xFCr MUSS es klare Meldewege und Kontaktpersonen innerhalb\
        \ der Institution geben."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a6.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a6
      ref_id: CON.7.A6.3
      description: "Die Institution MUSS die m\xF6glichen Auswirkungen des Verlustes\
        \ bewerten und geeignete Gegenma\xDFnahmen ergreifen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a7
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7
      ref_id: CON.7.A7
      name: Sicherer Remote-Zugriff auf das Netz der Institution
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a7.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a7
      ref_id: CON.7.A7.1
      description: "Um Besch\xE4ftigten auf Auslandsreisen einen sicheren Fernzugriff\
        \ auf das Netz der Institution zu erm\xF6glichen, MUSS zuvor vom IT-Betrieb\
        \ ein sicherer Remote-Zugang eingerichtet worden sein, z. B. ein Virtual Private\
        \ Network (VPN)."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a7.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a7
      ref_id: CON.7.A7.2
      description: Der VPN-Zugang MUSS kryptografisch abgesichert sein.
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a7.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a7
      ref_id: CON.7.A7.3
      description: "Au\xDFerdem M\xDCSSEN Benutzende \xFCber angemessen sichere Zugangsdaten\
        \ verf\xFCgen, um sich gegen\xFCber dem Endger\xE4t und dem Netz der Institution\
        \ erfolgreich zu authentisieren."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a7.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a7
      ref_id: CON.7.A7.4
      description: "Mitarbeitende M\xDCSSEN den sicheren Remote-Zugriff f\xFCr jegliche\
        \ dar\xFCber m\xF6gliche Kommunikation nutzen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a7.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a7
      ref_id: CON.7.A7.5
      description: "Es MUSS sichergestellt werden, dass nur autorisierte Personen\
        \ auf IT-Systeme zugreifen d\xFCrfen, die \xFCber einen Fernzugriff verf\xFC\
        gen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a7.6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a7
      ref_id: CON.7.A7.6
      description: "Mobile IT-Systeme M\xDCSSEN im Rahmen der M\xF6glichkeiten vor\
        \ dem direkten Anschluss an das Internet durch eine restriktiv konfigurierte\
        \ Personal Firewall gesch\xFCtzt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a8
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7
      ref_id: CON.7.A8
      name: "Sichere Nutzung von \xF6ffentlichen WLANs"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a8.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a8
      ref_id: CON.7.A8.1
      description: "Grunds\xE4tzlich MUSS geregelt werden, ob mobile IT-Systeme direkt\
        \ auf das Internet zugreifen d\xFCrfen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a8.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a8
      ref_id: CON.7.A8.2
      description: "F\xFCr den Zugriff auf das Netz der Institution \xFCber \xF6ffentlich\
        \ zug\xE4ngliche WLANs M\xDCSSEN Benutzende ein VPN oder vergleichbare Sicherheitsmechanismen\
        \ verwenden (siehe CON.7.A7 Sicherer Remote-Zugriff und NET.2.2 WLAN-Nutzung)."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a8.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a8
      ref_id: CON.7.A8.3
      description: "Bei der Benutzung von WLAN-Hotspots M\xDCSSEN ebenfalls Sicherheitsma\xDF\
        nahmen getroffen werden, siehe auch INF.9 Mobiler Arbeitsplatz."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a9
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7
      ref_id: CON.7.A9
      name: "Sicherer Umgang mit mobilen Datentr\xE4gern"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a9.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a9
      ref_id: CON.7.A9.1
      description: "Werden mobile Datentr\xE4ger verwendet, M\xDCSSEN Benutzende vorab\
        \ gew\xE4hrleisten, dass diese nicht mit Schadsoftware infiziert sind."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a9.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a9
      ref_id: CON.7.A9.2
      description: "Vor der Weitergabe mobiler Datentr\xE4ger M\xDCSSEN Benutzende\
        \ au\xDFerdem sicherstellen, dass keine sch\xFCtzenswerten Informationen darauf\
        \ enthalten sind."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a9.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a9
      ref_id: CON.7.A9.3
      description: "Wird er nicht mehr genutzt, MUSS der Datentr\xE4ger sicher gel\xF6\
        scht werden, insbesondere wenn er an andere Personen weitergegeben wird."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a9.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a9
      ref_id: CON.7.A9.4
      description: "Dazu MUSS der Datentr\xE4ger mit einem in der Institution festgelegten,\
        \ ausreichend sicheren Verfahren \xFCberschrieben werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a10
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7
      ref_id: CON.7.A10
      name: "Verschl\xFCsselung tragbarer IT-Systeme und Datentr\xE4ger"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a10.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a10
      ref_id: CON.7.A10.1
      description: "Damit sch\xFCtzenswerte Informationen nicht durch unberechtigte\
        \ Dritte eingesehen werden k\xF6nnen, M\xDCSSEN Mitarbeitende vor Reiseantritt\
        \ sicherstellen, dass alle sch\xFCtzenswerten Informationen entsprechend den\
        \ internen Richtlinien abgesichert sind."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a10.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a10
      ref_id: CON.7.A10.2
      description: "Mobile Datentr\xE4ger und IT-Systeme SOLLTEN dabei vor Reiseantritt\
        \ durch Benutzende oder den IT-Betrieb verschl\xFCsselt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a10.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a10
      ref_id: CON.7.A10.3
      description: "Die kryptografischen Schl\xFCssel M\xDCSSEN getrennt vom verschl\xFC\
        sselten Ger\xE4t aufbewahrt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a10.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a10
      ref_id: CON.7.A10.4
      description: "Bei der Verschl\xFCsselung von Daten SOLLTEN die gesetzlichen\
        \ Regelungen des Ziellandes beachtet werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a10.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a10
      ref_id: CON.7.A10.5
      description: "Insbesondere landesspezifische Gesetze zur Herausgabe von Passw\xF6\
        rtern und zur Entschl\xFCsselung von Daten SOLLTEN ber\xFCcksichtigt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a11
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7
      ref_id: CON.7.A11
      name: Einsatz von Diebstahl-Sicherungen
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a11.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a11
      ref_id: CON.7.A11.1
      description: "Zum Schutz der mobilen IT-Systeme au\xDFerhalb der Institution\
        \ SOLLTEN Benutzende Diebstahl-Sicherungen einsetzen, vor allem dort, wo ein\
        \ erh\xF6hter Publikumsverkehr herrscht oder die Fluktuation von Benutzenden\
        \ sehr hoch ist."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a11.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a11
      ref_id: CON.7.A11.2
      description: "Die Beschaffungs- und Einsatzkriterien f\xFCr Diebstahl-Sicherungen\
        \ SOLLTEN an die Prozesse der Institution angepasst und dokumentiert werden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a12
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7
      ref_id: CON.7.A12
      name: "Sicheres Vernichten von schutzbed\xFCrftigen Materialien und Dokumenten"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a12.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a12
      ref_id: CON.7.A12.1
      description: "Die Institution MUSS den Besch\xE4ftigten M\xF6glichkeiten aufzeigen,\
        \ schutzbed\xFCrftige Dokumente angemessen und sicher zu vernichten."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a12.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a12
      ref_id: CON.7.A12.2
      description: "Benutzende M\xDCSSEN diese Regelungen einhalten."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a12.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a12
      ref_id: CON.7.A12.3
      description: "Sie D\xDCRFEN interne Unterlagen der Institution NICHT entsorgen,\
        \ bevor diese sicher vernichtet worden sind."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a12.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a12
      ref_id: CON.7.A12.4
      description: "Ist dies vor Ort nicht m\xF6glich oder handelt es sich um Dokumente\
        \ bzw. Datentr\xE4ger mit besonders sch\xFCtzenswerten Informationen, M\xDC\
        SSEN diese bis zur R\xFCckkehr behalten und anschlie\xDFend angemessen vernichtet\
        \ werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a13
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7
      ref_id: CON.7.A13
      name: "Mitnahme notwendiger Daten und Datentr\xE4ger"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a13.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a13
      ref_id: CON.7.A13.1
      description: "Vor Reiseantritt SOLLTEN Benutzende pr\xFCfen, welche Daten w\xE4\
        hrend der Reise nicht unbedingt auf den IT-Systemen gebraucht werden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a13.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a13
      ref_id: CON.7.A13.2
      description: "Ist es nicht notwendig, diese Daten auf den Ger\xE4ten zu lassen,\
        \ SOLLTEN diese sicher gel\xF6scht werden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a13.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a13
      ref_id: CON.7.A13.3
      description: "Ist es n\xF6tig, sch\xFCtzenswerte Daten mit auf Reisen zu nehmen,\
        \ SOLLTE dies nur in verschl\xFCsselter Form erfolgen."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a13.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a13
      ref_id: CON.7.A13.4
      description: "Dar\xFCber hinaus SOLLTE schriftlich geregelt sein, welche mobilen\
        \ Datentr\xE4ger auf Auslandsreisen mitgenommen werden d\xFCrfen und welche\
        \ Sicherheitsma\xDFnahmen dabei zu ber\xFCcksichtigen sind (z. B. Schutz vor\
        \ Schadsoftware, Verschl\xFCsselung gesch\xE4ftskritischer Daten, Aufbewahrung\
        \ mobiler Datentr\xE4ger)."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a13.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a13
      ref_id: CON.7.A13.5
      description: Die Mitarbeitenden SOLLTEN diese Regelungen vor Reiseantritt kennen
        und beachten.
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a13.6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a13
      ref_id: CON.7.A13.6
      description: Diese sicherheitstechnischen Anforderungen SOLLTEN sich nach dem
        Schutzbedarf der zu bearbeitenden Daten im Ausland und der Daten, auf die
        zugegriffen werden soll, richten.
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a14
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7
      ref_id: CON.7.A14
      name: Kryptografisch abgesicherte E-Mail-Kommunikation
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a14.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a14
      ref_id: CON.7.A14.1
      description: Die E-Mail-basierte Kommunikation SOLLTEN Benutzende entsprechend
        den internen Vorgaben der Institution kryptografisch absichern.
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a14.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a14
      ref_id: CON.7.A14.2
      description: "Die E-Mails SOLLTEN ebenfalls geeignet verschl\xFCsselt bzw. digital\
        \ signiert werden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a14.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a14
      ref_id: CON.7.A14.3
      description: "\xD6ffentliche IT-Systeme, etwa in Hotels oder Internetcaf\xE9\
        s, SOLLTEN NICHT f\xFCr den Zugriff auf E-Mails genutzt werden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a14.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a14
      ref_id: CON.7.A14.4
      description: "Bei der Kommunikation \xFCber E-Mail-Dienste, z. B. Webmail, SOLLTE\
        \ durch den IT-Betrieb vorab gekl\xE4rt werden, welche Sicherheitsmechanismen\
        \ beim Provider umgesetzt werden und ob damit die internen Sicherheitsanforderungen\
        \ erf\xFCllt werden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a14.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a14
      ref_id: CON.7.A14.5
      description: "Hierzu SOLLTE z. B. der sichere Betrieb der Server, der Aufbau\
        \ einer verschl\xFCsselten Verbindung und die Dauer der Datenspeicherung z\xE4\
        hlen."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a15
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7
      ref_id: CON.7.A15
      name: Abstrahlsicherheit tragbarer IT-Systeme
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a15.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a15
      ref_id: CON.7.A15.1
      description: "Es SOLLTE vor Beginn der Reise festgelegt werden, welchen Schutzbedarf\
        \ die einzelnen Informationen haben, die auf dem mobilen Datentr\xE4ger bzw.\
        \ Client der Mitarbeitenden im Ausland verarbeitet werden."
      implementation_groups:
      - E
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a15.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a15
      ref_id: CON.7.A15.2
      description: "Die Institution SOLLTE pr\xFCfen, ob die mitgef\xFChrten Informationen\
        \ einen besonderen Schutzbedarf haben, und entsprechend abstrahlarme bzw.\
        \ -sichere Datentr\xE4ger und Clients einsetzen."
      implementation_groups:
      - E
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a16
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7
      ref_id: CON.7.A16
      name: "Integrit\xE4tsschutz durch Check-Summen oder digitale Signaturen"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a16.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a16
      ref_id: CON.7.A16.1
      description: "Benutzende SOLLTEN Check-Summen im Rahmen der Daten\xFCbertragung\
        \ und Datensicherung verwenden, um die Integrit\xE4t der Daten \xFCberpr\xFC\
        fen zu k\xF6nnen."
      implementation_groups:
      - E
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a16.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a16
      ref_id: CON.7.A16.2
      description: "Besser noch SOLLTEN digitale Signaturen verwendet werden, um die\
        \ Integrit\xE4t von sch\xFCtzenswerten Informationen zu bewahren."
      implementation_groups:
      - E
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a17
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7
      ref_id: CON.7.A17
      name: Verwendung vorkonfigurierter Reise-Hardware
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a17.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a17
      ref_id: CON.7.A17.1
      description: "Damit sch\xFCtzenswerte Informationen der Institution auf Auslandsreisen\
        \ nicht von Dritten abgegriffen werden k\xF6nnen, SOLLTE der IT-Betrieb den\
        \ Mitarbeitenden vorkonfigurierte Reise-Hardware zur Verf\xFCgung stellen."
      implementation_groups:
      - E
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a17.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a17
      ref_id: CON.7.A17.2
      description: "Diese Reise-Hardware SOLLTE auf Basis des Minimalprinzips nur\
        \ die Funktionen und Informationen bereitstellen, die zur Durchf\xFChrung\
        \ der Gesch\xE4ftst\xE4tigkeit unbedingt erforderlich sind."
      implementation_groups:
      - E
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a18
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7
      ref_id: CON.7.A18
      name: "Eingeschr\xE4nkte Berechtigungen auf Auslandsreisen"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a18.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a18
      ref_id: CON.7.A18.1
      description: "Vor Reiseantritt SOLLTE gepr\xFCft werden, welche Berechtigungen\
        \ Mitarbeitende wirklich brauchen, um ihrem Alltagsgesch\xE4ft im Ausland\
        \ nachgehen zu k\xF6nnen."
      implementation_groups:
      - E
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a18.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.7.a18
      ref_id: CON.7.A18.2
      description: "Dabei SOLLTE gepr\xFCft werden, ob Zugriffsrechte f\xFCr die Reisedauer\
        \ der Benutzenden durch den IT-Betrieb entzogen werden k\xF6nnen, um einen\
        \ unbefugten Zugriff auf Informationen der Institution zu verhindern."
      implementation_groups:
      - E
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8
      assessable: false
      depth: 1
      ref_id: CON.8
      name: Software-Entwicklung
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a1
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8
      ref_id: CON.8.A1
      name: "Definition von Rollen und Zust\xE4ndigkeiten"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a1.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a1
      ref_id: CON.8.A1.1
      description: "F\xFCr den Software-Entwicklungsprozess SOLLTE eine gesamtzust\xE4\
        ndige Person ein benannt werden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a1.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a1
      ref_id: CON.8.A1.2
      description: "Au\xDFerdem SOLLTEN die Rollen und Zust\xE4ndigkeiten f\xFCr alle\
        \ Aktivit\xE4ten im Rahmen der Software-Entwicklung festgelegt werden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a1.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a1
      ref_id: CON.8.A1.3
      description: 'Die Rollen SOLLTEN dabei fachlich die nachfolgenden Themen abdecken:'
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a1.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a1
      ref_id: CON.8.A1.4
      description: "\u2022 Requirements-Engineering (Anforderungsmanagement) und \xC4\
        nderungsmanagement,"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a1.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a1
      ref_id: CON.8.A1.5
      description: "\u2022 Software-Entwurf und -Architektur,"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a1.6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a1
      ref_id: CON.8.A1.6
      description: "\u2022 Informationssicherheit in der Software-Entwicklung,"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a1.7
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a1
      ref_id: CON.8.A1.7
      description: "\u2022 Software-Implementierung in dem f\xFCr das Entwicklungsvorhaben\
        \ relevanten Bereichen, sowie"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a1.8
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a1
      ref_id: CON.8.A1.8
      description: "\u2022 Software-Tests."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a1.9
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a1
      ref_id: CON.8.A1.9
      description: "F\xFCr jedes Entwicklungsvorhaben SOLLTE eine zust\xE4ndige Person\
        \ f\xFCr die Informationssicherheit benannt werden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a2
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8
      ref_id: CON.8.A2
      name: Auswahl eines Vorgehensmodells
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a2.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a2
      ref_id: CON.8.A2.1
      description: Ein geeignetes Vorgehensmodell zur Software-Entwicklung MUSS festgelegt
        werden.
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a2.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a2
      ref_id: CON.8.A2.2
      description: "Anhand des gew\xE4hlten Vorgehensmodells MUSS ein Ablaufplan f\xFC\
        r die Software-Entwicklung erstellt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a2.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a2
      ref_id: CON.8.A2.3
      description: "Die Sicherheitsanforderungen der Auftraggebenden an die Vorgehensweise\
        \ M\xDCSSEN im Vorgehensmodell integriert werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a2.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a2
      ref_id: CON.8.A2.4
      description: "Das ausgew\xE4hlte Vorgehensmodell, einschlie\xDFlich der festgelegten\
        \ Sicherheitsanforderungen, MUSS eingehalten werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a2.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a2
      ref_id: CON.8.A2.5
      description: "Das Personal SOLLTE in der Methodik des gew\xE4hlten Vorgehensmodells\
        \ geschult sein."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a3
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8
      ref_id: CON.8.A3
      name: Auswahl einer Entwicklungsumgebung
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a3.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a3
      ref_id: CON.8.A3.1
      description: "Eine Liste der erforderlichen und optionalen Auswahlkriterien\
        \ f\xFCr eine Entwicklungsumgebung MUSS von Fachverantwortlichen f\xFCr die\
        \ Software-Entwicklung erstellt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a3.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a3
      ref_id: CON.8.A3.2
      description: "Die Entwicklungsumgebung MUSS anhand der vorgegebenen Kriterien\
        \ ausgew\xE4hlt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8
      ref_id: CON.8.A5
      name: Sicheres Systemdesign
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5
      ref_id: CON.8.A5.1
      description: "Folgende Grundregeln des sicheren Systemdesigns M\xDCSSEN in der\
        \ zu entwickelnden Software ber\xFCcksichtigt werden:"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5
      ref_id: CON.8.A5.2
      description: "\u2022 Grunds\xE4tzlich M\xDCSSEN alle Eingabedaten vor der Weiterverarbeitung\
        \ gepr\xFCft und validiert werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5
      ref_id: CON.8.A5.3
      description: "\u2022 Bei Client-Server-Anwendungen M\xDCSSEN die Daten grunds\xE4\
        tzlich auf dem Server validiert werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5
      ref_id: CON.8.A5.4
      description: "\u2022 Die Standardeinstellungen der Software M\xDCSSEN derart\
        \ voreingestellt sein, dass ein sicherer Betrieb der Software erm\xF6glicht\
        \ wird."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5
      ref_id: CON.8.A5.5
      description: "\u2022 Bei Fehlern oder Ausf\xE4llen von Komponenten des Systems\
        \ D\xDCRFEN NICHT sch\xFCtzenswerte Informationen preisgegeben werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5.6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5
      ref_id: CON.8.A5.6
      description: "\u2022 Die Software MUSS mit m\xF6glichst geringen Privilegien\
        \ ausgef\xFChrt werden k\xF6nnen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5.7
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5
      ref_id: CON.8.A5.7
      description: "\u2022 Sch\xFCtzenswerte Daten M\xDCSSEN entsprechend der Vorgaben\
        \ des Kryptokonzepts verschl\xFCsselt \xFCbertragen und gespeichert werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5.8
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5
      ref_id: CON.8.A5.8
      description: "\u2022 Zur Benutzenden-Authentisierung und Authentifizierung M\xDC\
        SSEN vertrauensw\xFCrdige Mechanismen verwendet werden, die den Sicherheitsanforderungen\
        \ an die Anwendung entsprechen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5.9
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5
      ref_id: CON.8.A5.9
      description: "\u2022 Falls zur Authentifizierung Passw\xF6rter gespeichert werden,\
        \ M\xDCSSEN diese mit einem sicheren Hashverfahren gespeichert werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5.10
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5
      ref_id: CON.8.A5.10
      description: "\u2022 Sicherheitsrelevante Ereignisse M\xDCSSEN in der Art protokolliert\
        \ werden, dass sie im Nachgang ausgewertet werden k\xF6nnen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5.11
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5
      ref_id: CON.8.A5.11
      description: "\u2022 Informationen, die f\xFCr den Produktivbetrieb nicht relevant\
        \ sind (z. B. Kommentare mit Zugangsdaten f\xFCr die Entwicklungsumgebung),\
        \ SOLLTEN in ausgeliefertem Programmcode und ausgelieferten Konfigurationsdateien\
        \ entfernt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5.12
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5
      ref_id: CON.8.A5.12
      description: Das Systemdesign MUSS dokumentiert werden.
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5.13
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a5
      ref_id: CON.8.A5.13
      description: "Es MUSS \xFCberpr\xFCft werden, ob alle Sicherheitsanforderungen\
        \ an das Systemdesign erf\xFCllt wurden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a6
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8
      ref_id: CON.8.A6
      name: "Verwendung von externen Bibliotheken aus vertrauensw\xFCrdigen Quellen"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a6.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a6
      ref_id: CON.8.A6.1
      description: "Wird im Rahmen des Entwicklungs- und Implementierungsprozesses\
        \ auf externe Bibliotheken zur\xFCckgegriffen, M\xDCSSEN diese aus vertrauensw\xFC\
        rdigen Quellen bezogen werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a6.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a6
      ref_id: CON.8.A6.2
      description: "Bevor externe Bibliotheken verwendet werden, MUSS deren Integrit\xE4\
        t sichergestellt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a7
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8
      ref_id: CON.8.A7
      name: "Durchf\xFChrung von entwicklungsbegleitenden Software-Tests"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a7.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a7
      ref_id: CON.8.A7.1
      description: "Schon bevor die Software im Freigabeprozess getestet und freigegeben\
        \ wird, M\xDCSSEN entwicklungsbegleitende Software-Tests durchgef\xFChrt und\
        \ der Quellcode auf Fehler gesichtet werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a7.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a7
      ref_id: CON.8.A7.2
      description: Hierbei SOLLTEN bereits die Fachverantwortlichen des Auftraggebenden
        oder der beauftragenden Fachabteilung beteiligt werden.
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a7.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a7
      ref_id: CON.8.A7.3
      description: "Die entwicklungsbegleitenden Tests M\xDCSSEN die funktionalen\
        \ und nichtfunktionalen Anforderungen der Software umfassen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a7.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a7
      ref_id: CON.8.A7.4
      description: "Die Software-Tests M\xDCSSEN dabei auch Negativtests abdecken."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a7.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a7
      ref_id: CON.8.A7.5
      description: "Zus\xE4tzlich M\xDCSSEN auch alle kritischen Grenzwerte der Eingabe\
        \ sowie der Datentypen \xFCberpr\xFCft werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a7.6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a7
      ref_id: CON.8.A7.6
      description: "Testdaten SOLLTEN daf\xFCr sorgf\xE4ltig ausgew\xE4hlt und gesch\xFC\
        tzt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a7.7
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a7
      ref_id: CON.8.A7.7
      description: "Dar\xFCber hinaus SOLLTE eine automatische statische Code-Analyse\
        \ durchgef\xFChrt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a7.8
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a7
      ref_id: CON.8.A7.8
      description: Die Software MUSS in einer Test- und Entwicklungsumgebung getestet
        werden, die getrennt von der Produktionsumgebung ist.
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a7.9
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a7
      ref_id: CON.8.A7.9
      description: "Au\xDFerdem MUSS getestet werden, ob die Systemvoraussetzungen\
        \ f\xFCr die vorgesehene Software ausreichend dimensioniert sind."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a8
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8
      ref_id: CON.8.A8
      name: "Bereitstellung von Patches, Updates und \xC4nderungen"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a8.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a8
      ref_id: CON.8.A8.1
      description: "Es MUSS sichergestellt sein, dass sicherheitskritische Patches\
        \ und Updates f\xFCr die entwickelte Software zeitnah durch die Entwickelnden\
        \ bereitgestellt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a8.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a8
      ref_id: CON.8.A8.2
      description: "Werden f\xFCr verwendete externe Bibliotheken sicherheitskritische\
        \ Updates bereitgestellt, dann M\xDCSSEN die Entwickelnden ihre Software hierauf\
        \ anpassen und ihrerseits entsprechende Patches und Updates zur Verf\xFCgung\
        \ stellen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a8.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a8
      ref_id: CON.8.A8.3
      description: "F\xFCr die Installations-, Update- oder Patchdateien M\xDCSSEN\
        \ vom Entwickelnden Checksummen oder digitale Signaturen bereitgestellt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a10
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8
      ref_id: CON.8.A10
      name: Versionsverwaltung des Quellcodes
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a10.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a10
      ref_id: CON.8.A10.1
      description: "Der Quellcode des Entwicklungsprojekts MUSS \xFCber eine geeignete\
        \ Versionsverwaltung verwaltet werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a10.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a10
      ref_id: CON.8.A10.2
      description: "Die Institution MUSS den Zugriff auf die Versionsverwaltung regeln\
        \ und festlegen, wann \xC4nderungen am Quellcode durch die Entwickelnden als\
        \ eigene Version in der Versionsverwaltung gespeichert werden sollen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a10.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a10
      ref_id: CON.8.A10.3
      description: "Es MUSS sichergestellt sein, dass durch die Versionsverwaltung\
        \ alle \xC4nderungen am Quellcode nachvollzogen und r\xFCckg\xE4ngig gemacht\
        \ werden k\xF6nnen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a10.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a10
      ref_id: CON.8.A10.4
      description: "Die Versionsverwaltung MUSS in dem Datensicherungskonzept ber\xFC\
        cksichtigt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a10.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a10
      ref_id: CON.8.A10.5
      description: Die Versionsverwaltung DARF NICHT ohne Datensicherung erfolgen.
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a11
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8
      ref_id: CON.8.A11
      name: "Erstellung einer Richtlinie f\xFCr die Software-Entwicklung"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a11.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a11
      ref_id: CON.8.A11.1
      description: "Es SOLLTE eine Richtlinie f\xFCr die Software-Entwicklung erstellt\
        \ und aktuell gehalten werden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a11.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a11
      ref_id: CON.8.A11.2
      description: "Die Richtlinie SOLLTE neben Namenskonventionen auch Vorgaben zu\
        \ Elementen beinhalten, die verwendet bzw. nicht verwendet werden d\xFCrfen."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a11.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a11
      ref_id: CON.8.A11.3
      description: Die relevanten Anforderungen aus diesem Baustein SOLLTEN in die
        Richtlinie aufgenommen werden.
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a11.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a11
      ref_id: CON.8.A11.4
      description: "Die Richtlinie SOLLTE f\xFCr die Entwickelnden verbindlich sein."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a12
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8
      ref_id: CON.8.A12
      name: "Ausf\xFChrliche Dokumentation"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a12.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a12
      ref_id: CON.8.A12.1
      description: Es SOLLTEN ausreichende Projekt-, Funktions- und Schnittstellendokumentationen
        erstellt und aktuell gehalten werden.
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a12.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a12
      ref_id: CON.8.A12.2
      description: "Die Betriebsdokumentation SOLLTE konkrete Sicherheitshinweise\
        \ f\xFCr die Installation und Konfiguration f\xFCr Administration, sowie f\xFC\
        r die Benutzung des Produktes beinhalten."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a12.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a12
      ref_id: CON.8.A12.3
      description: "Die Software-Entwicklung SOLLTE so dokumentiert sein, dass Fachleute\
        \ mithilfe der Dokumentation den Programm-Code nachvollziehen und weiterentwickeln\
        \ k\xF6nnen."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a12.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a12
      ref_id: CON.8.A12.4
      description: Die Dokumentation SOLLTE dabei auch die Software-Architektur und
        Bedrohungsmodellierung umfassen.
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a12.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a12
      ref_id: CON.8.A12.5
      description: "Die Aspekte zur Dokumentation SOLLTEN im Vorgehensmodell zur Software-Entwicklung\
        \ ber\xFCcksichtigt werden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8
      ref_id: CON.8.A14
      name: Schulung des Entwicklungsteams zur Informationssicherheit
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14
      ref_id: CON.8.A14.1
      description: "Die Entwickelnden und die \xFCbrigen Mitglieder des Entwicklungsteams\
        \ SOLLTEN zu generellen Informationssicherheitsaspekten und zu den jeweils\
        \ speziell f\xFCr sie relevanten Aspekten geschult sein:"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14
      ref_id: CON.8.A14.2
      description: "\u2022 Anforderungsanalyse,"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14
      ref_id: CON.8.A14.3
      description: "\u2022 Projektmanagement allgemein sowie speziell bei der Software-Entwicklung,"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14
      ref_id: CON.8.A14.4
      description: "\u2022 Risikomanagement bzw. Bedrohungsmodellierung in der Software-Entwicklung,"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14
      ref_id: CON.8.A14.5
      description: "\u2022 Qualit\xE4tsmanagement und Qualit\xE4tssicherung,"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14.6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14
      ref_id: CON.8.A14.6
      description: "\u2022 Modelle und Methoden f\xFCr die Software-Entwicklung,"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14.7
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14
      ref_id: CON.8.A14.7
      description: "\u2022 Software-Architektur,"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14.8
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14
      ref_id: CON.8.A14.8
      description: "\u2022 Software-Tests,"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14.9
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14
      ref_id: CON.8.A14.9
      description: "\u2022 \xC4nderungsmanagement sowie"
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14.10
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a14
      ref_id: CON.8.A14.10
      description: "\u2022 Informationssicherheit, Sicherheitsvorgaben in der Institution\
        \ und Sicherheitsaspekte in speziellen Bereichen."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a16
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8
      ref_id: CON.8.A16
      name: Geeignete Steuerung der Software-Entwicklung
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a16.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a16
      ref_id: CON.8.A16.1
      description: "Bei einer Software-Entwicklung SOLLTE ein geeignetes Steuerungs-\
        \ bzw. Projektmanagementmodell auf Basis des ausgew\xE4hlten Vorgehensmodells\
        \ verwendet werden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a16.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a16
      ref_id: CON.8.A16.2
      description: Das Steuerungs- bzw. Projektmanagementmodell SOLLTE in die Richtlinie
        zur Software Entwicklung integriert werden.
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a16.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a16
      ref_id: CON.8.A16.3
      description: "Dabei SOLLTEN insbesondere die ben\xF6tigten Qualifikationen beim\
        \ Personal und die Abdeckung aller relevanten Phasen w\xE4hrend des Lebenszyklus\
        \ der Software ber\xFCcksichtigt werden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a16.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a16
      ref_id: CON.8.A16.4
      description: "F\xFCr das Vorgehensmodell SOLLTE ein geeignetes Risikomanagement\
        \ festgelegt werden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a16.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a16
      ref_id: CON.8.A16.5
      description: "Au\xDFerdem SOLLTEN geeignete Qualit\xE4tsziele f\xFCr das Entwicklungsprojekt\
        \ definiert werden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a17
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8
      ref_id: CON.8.A17
      name: "Auswahl vertrauensw\xFCrdiger Entwicklungswerkzeuge"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a17.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a17
      ref_id: CON.8.A17.1
      description: Zur Entwicklung der Software SOLLTEN nur Werkzeuge mit nachgewiesenen
        Sicherheitseigenschaften verwendet werden.
      implementation_groups:
      - E
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a17.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a17
      ref_id: CON.8.A17.2
      description: An die herstellenden Unternehmen von Hardware oder Software SOLLTEN
        hinreichende Anforderungen zur Sicherheit ihrer Werkzeuge gestellt werden.
      implementation_groups:
      - E
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a18
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8
      ref_id: CON.8.A18
      name: "Regelm\xE4\xDFige Sicherheitsaudits f\xFCr die Entwicklungsumgebung"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a18.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a18
      ref_id: CON.8.A18.1
      description: "Es SOLLTEN regelm\xE4\xDFige Sicherheitsaudits der Software-Entwicklungsumgebung\
        \ und der Software-Testumgebung durchgef\xFChrt werden."
      implementation_groups:
      - E
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a19
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8
      ref_id: CON.8.A19
      name: "Regelm\xE4\xDFige Integrit\xE4tspr\xFCfung der Entwicklungsumgebung"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a19.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a19
      ref_id: CON.8.A19.1
      description: "Die Integrit\xE4t der Entwicklungsumgebung SOLLTE regelm\xE4\xDF\
        ig mit kryptographischen Mechanismen entsprechend dem Stand der Technik gepr\xFC\
        ft werden."
      implementation_groups:
      - E
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a19.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a19
      ref_id: CON.8.A19.2
      description: "Die Pr\xFCfsummendateien und das Pr\xFCfprogramm selbst SOLLTEN\
        \ ausreichend vor Manipulationen gesch\xFCtzt sein."
      implementation_groups:
      - E
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a19.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a19
      ref_id: CON.8.A19.3
      description: "Wichtige Hinweise auf einen Integrit\xE4tsverlust SOLLTEN nicht\
        \ in einer F\xFClle irrelevanter Warnmeldungen (false positives) untergehen."
      implementation_groups:
      - E
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a20
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8
      ref_id: CON.8.A20
      name: "\xDCberpr\xFCfung von externen Komponenten"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a20.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a20
      ref_id: CON.8.A20.1
      description: "Unbekannte externe Komponenten (bzw. Programm-Bibliotheken), deren\
        \ Sicherheit nicht durch etablierte und anerkannte Peer-Reviews oder vergleichbares\
        \ sichergestellt werden kann, M\xDCSSEN auf Schwachstellen \xFCberpr\xFCft\
        \ werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a20.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a20
      ref_id: CON.8.A20.2
      description: "Alle externen Komponenten M\xDCSSEN auf potentielle Konflikte\
        \ \xFCberpr\xFCft werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a20.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a20
      ref_id: CON.8.A20.3
      description: "Die Integrit\xE4t von externen Komponenten MUSS durch Pr\xFCfsummen\
        \ oder kryptographische Zertifikate \xFCberpr\xFCft werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a20.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a20
      ref_id: CON.8.A20.4
      description: "Dar\xFCber hinaus SOLLTEN keine veralteten Versionen von externen\
        \ Komponenten in aktuellen Entwicklungsprojekten verwendet werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a21
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8
      ref_id: CON.8.A21
      name: Bedrohungsmodellierung
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a21.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a21
      ref_id: CON.8.A21.1
      description: "In der Entwurfsphase der Software-Entwicklung SOLLTE eine Bedrohungsmodellierung\
        \ durchgef\xFChrt werden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a21.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a21
      ref_id: CON.8.A21.2
      description: Hierzu SOLLTEN auf Basis des Sicherheitsprofils, des Anforderungskatalogs
        und der geplanten Einsatzumgebung bzw. Einsatzszenarios potentielle Bedrohungen
        identifiziert werden.
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a21.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a21
      ref_id: CON.8.A21.3
      description: Die Bedrohungen SOLLTEN hinsichtlich ihrer Eintrittswahrscheinlichkeit
        und Auswirkung bewertet werden.
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a22
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8
      ref_id: CON.8.A22
      name: Sicherer Software-Entwurf
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a22.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a22
      ref_id: CON.8.A22.1
      description: "Der Software-Entwurf SOLLTE den Anforderungskatalog, das Sicherheitsprofil\
        \ und die Ergebnisse der Bedrohungsmodellierung ber\xFCcksichtigen."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a22.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a22
      ref_id: CON.8.A22.2
      description: Im Rahmen des sicheren Software-Entwurfs SOLLTE eine sichere Software-Architektur
        entwickelt werden, auf deren Grundlage der Quellcode der Anwendung zu entwickeln
        ist.
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a22.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.8.a22
      ref_id: CON.8.A22.3
      description: "Hierbei SOLLTEN m\xF6glichst zuk\xFCnftige Standards und Angriffstechniken\
        \ ber\xFCcksichtigt werden, damit die zu entwickelnde Software auch zuk\xFC\
        nftig leicht gewartet werden kann."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9
      assessable: false
      depth: 1
      ref_id: CON.9
      name: Informationsaustausch
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a1
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9
      ref_id: CON.9.A1
      name: "Festlegung zul\xE4ssiger Empfangender"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a1.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a1
      ref_id: CON.9.A1.1
      description: "Die zentrale Verwaltungsstelle MUSS sicherstellen, dass durch\
        \ die Weitergabe von Informationen nicht gegen rechtliche Rahmenbedingungen\
        \ versto\xDFen wird."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a1.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a1
      ref_id: CON.9.A1.2
      description: Die zentrale Verwaltungsstelle MUSS festlegen, wer welche Informationen
        erhalten und weitergeben darf.
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a1.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a1
      ref_id: CON.9.A1.3
      description: "Es MUSS festgelegt werden, auf welchen Wegen die jeweiligen Informationen\
        \ ausgetauscht werden d\xFCrfen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a1.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a1
      ref_id: CON.9.A1.4
      description: "Alle Beteiligten M\xDCSSEN vor dem Austausch von Informationen\
        \ sicherstellen, dass die empfangende Stelle die notwendigen Berechtigungen\
        \ f\xFCr den Erhalt und die Weiterverarbeitung der Informationen besitzt."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a2
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9
      ref_id: CON.9.A2
      name: Regelung des Informationsaustausches
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a2.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a2
      ref_id: CON.9.A2.1
      description: "Bevor Informationen ausgetauscht werden, MUSS die Institution\
        \ festlegen, wie schutzbed\xFCrftig die Informationen sind."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a2.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a2
      ref_id: CON.9.A2.2
      description: "Sie MUSS festlegen, wie die Informationen bei der \xDCbertragung\
        \ zu sch\xFCtzen sind."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a2.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a2
      ref_id: CON.9.A2.3
      description: "Falls schutzbed\xFCrftige Daten \xFCbermittelt werden, MUSS die\
        \ Institution die Empfangenden dar\xFCber informieren, wie schutzbed\xFCrftig\
        \ die Informationen sind."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a2.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a2
      ref_id: CON.9.A2.4
      description: "Falls die Informationen schutzbed\xFCrftig sind, MUSS die Institution\
        \ die Empfangenden darauf hingewiesen werden, dass diese die Daten ausschlie\xDF\
        lich zu dem Zweck nutzen d\xFCrfen, zu dem sie \xFCbermittelt wurden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a3
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9
      ref_id: CON.9.A3
      name: Unterweisung des Personals zum Informationsaustausch
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a3.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a3
      ref_id: CON.9.A3.1
      description: "Fachverantwortliche M\xDCSSEN die Mitarbeitenden \xFCber die Rahmenbedingungen\
        \ jedes Informationsaustauschs informieren."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a3.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a3
      ref_id: CON.9.A3.2
      description: "Die Fachverantwortlichen M\xDCSSEN sicherstellen, dass die Mitarbeitenden\
        \ wissen, welche Informationen sie wann, wo und wie weitergeben d\xFCrfen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a4
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9
      ref_id: CON.9.A4
      name: Vereinbarungen zum Informationsaustausch mit Externen
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a4.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a4
      ref_id: CON.9.A4.1
      description: "Bei einem regelm\xE4\xDFigen Informationsaustausch mit anderen\
        \ Institutionen SOLLTE die Institution die Rahmenbedingungen f\xFCr den Informationsaustausch\
        \ formal vereinbaren."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a4.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a4
      ref_id: CON.9.A4.2
      description: "Die Vereinbarung f\xFCr den Informationsaustausch SOLLTE Angaben\
        \ zum Schutz aller vertraulichen Informationen enthalten."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a5
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9
      ref_id: CON.9.A5
      name: Beseitigung von Restinformationen vor Weitergabe
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a5.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a5
      ref_id: CON.9.A5.1
      description: "Zus\xE4tzlich zu den allgemeinen Schulungsma\xDFnahmen SOLLTE\
        \ die Institution \xFCber die Gefahren von Rest- und Zusatzinformationen in\
        \ Dokumenten und Dateien informieren."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a5.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a5
      ref_id: CON.9.A5.2
      description: "Es SOLLTE vermittelt werden, wie sie Rest- und Zusatzinformationen\
        \ in Dokumenten und Dateien vermeiden werden k\xF6nnen."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a5.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a5
      ref_id: CON.9.A5.3
      description: "Die Institution SOLLTE Anleitungen bereitstellen, die vorgeben\
        \ wie unerw\xFCnschte Restinformationen vom Austausch auszuschlie\xDFen sind."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a5.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a5
      ref_id: CON.9.A5.4
      description: "Jede Datei und jedes Dokument SOLLTE vor der Weitergabe auf unerw\xFC\
        nschte Restinformationen \xFCberpr\xFCft werden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a5.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a5
      ref_id: CON.9.A5.5
      description: "Unerw\xFCnschte Restinformationen SOLLTEN vor der Weitergabe aus\
        \ Dokumenten und Dateien entfernt werden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a6
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9
      ref_id: CON.9.A6
      name: "Kompatibilit\xE4tspr\xFCfung des Sende- und Empfangssystems"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a6.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a6
      ref_id: CON.9.A6.1
      description: "Vor einem Informationsaustausch SOLLTE \xFCberpr\xFCfen werden,\
        \ ob die eingesetzten IT-Systeme und Produkte kompatibel sind."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a7
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9
      ref_id: CON.9.A7
      name: "Sicherungskopie der \xFCbermittelten Daten"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a7.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a7
      ref_id: CON.9.A7.1
      description: "Die Institution SOLLTE eine Sicherungskopie der \xFCbermittelten\
        \ Informationen anfertigen, falls die Informationen nicht aus anderen Quellen\
        \ wiederhergestellt werden k\xF6nnen."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a8
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9
      ref_id: CON.9.A8
      name: "Verschl\xFCsselung und digitale Signatur"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a8.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a8
      ref_id: CON.9.A8.1
      description: "Die Institution SOLLTE pr\xFCfen, ob Informationen w\xE4hrend\
        \ des Austausches kryptografisch gesichert werden k\xF6nnen."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a8.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a8
      ref_id: CON.9.A8.2
      description: "Falls die Informationen kryptografisch gesichert werden, SOLLTEN\
        \ daf\xFCr ausreichend sichere Verfahren eingesetzt werden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a9
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9
      ref_id: CON.9.A9
      name: Vertraulichkeitsvereinbarungen
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a9.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a9
      ref_id: CON.9.A9.1
      description: Bevor vertrauliche Informationen an andere Institutionen weitergeben
        werden, SOLLTE die zentrale Verwaltung informiert werden.
      implementation_groups:
      - E
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a9.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a9
      ref_id: CON.9.A9.2
      description: "Die zentrale Verwaltung SOLLTE eine Vertraulichkeitsvereinbarung\
        \ mit der empfangenden Institution abschlie\xDFen."
      implementation_groups:
      - E
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a9.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a9
      ref_id: CON.9.A9.3
      description: "Die Vertraulichkeitsvereinbarung SOLLTE regeln, wie die Informationen\
        \ durch die empfangende Institution aufbewahrt werden d\xFCrfen."
      implementation_groups:
      - E
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a9.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.9.a9
      ref_id: CON.9.A9.4
      description: "In der Vertraulichkeitsvereinbarung SOLLTE festgelegt werden,\
        \ wer bei der empfangenden Institution Zugriff auf welche \xFCbermittelten\
        \ Informationen haben darf."
      implementation_groups:
      - E
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10
      assessable: false
      depth: 1
      ref_id: CON.10
      name: Entwicklung von Webanwendungen
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a1
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10
      ref_id: CON.10.A1
      name: Authentisierung bei Webanwendungen
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a1.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a1
      ref_id: CON.10.A1.1
      description: "Die Entwickelnden M\xDCSSEN sicherstellen, dass sich die Benutzenden\
        \ gegen\xFCber der Webanwendung sicher und angemessen authentisieren, bevor\
        \ diese auf gesch\xFCtzte Funktionen oder Inhalte zugreifen k\xF6nnen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a1.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a1
      ref_id: CON.10.A1.2
      description: "Es MUSS eine angemessene Authentisierungsmethode ausgew\xE4hlt\
        \ werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a1.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a1
      ref_id: CON.10.A1.3
      description: Der Auswahlprozess MUSS dokumentiert werden.
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a1.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a1
      ref_id: CON.10.A1.4
      description: Eine zentrale Authentisierungskomponente MUSS verwendet werden.
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a1.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a1
      ref_id: CON.10.A1.5
      description: Die zentrale Authentisierungskomponente SOLLTE mit etablierten
        Standardkomponenten (z. B. aus Frameworks oder Programmbibliotheken) umgesetzt
        werden.
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a1.6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a1
      ref_id: CON.10.A1.6
      description: "Falls eine Webanwendung Authentisierungsdaten auf einem Client\
        \ speichert, MUSS explizit auf die Risiken der Funktion hingewiesen werden\
        \ und zustimmen (\u201EOpt-In\u201C)."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a1.7
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a1
      ref_id: CON.10.A1.7
      description: "Die Webanwendung MUSS die M\xF6glichkeit bieten, Grenzwerte f\xFC\
        r fehlgeschlagene Anmeldeversuche festzulegen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a1.8
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a1
      ref_id: CON.10.A1.8
      description: "Die Webanwendung MUSS Benutzende sofort informieren, wenn deren\
        \ Passwort zur\xFCckgesetzt wurde."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a2
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10
      ref_id: CON.10.A2
      name: Zugriffskontrolle bei Webanwendungen
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a2.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a2
      ref_id: CON.10.A2.1
      description: "Die Entwickelnden M\xDCSSEN mittels einer Autorisierungskomponente\
        \ sicherstellen, dass die Benutzenden ausschlie\xDFlich solche Aktionen durchf\xFC\
        hren k\xF6nnen, zu denen sie berechtigt sind."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a2.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a2
      ref_id: CON.10.A2.2
      description: "Jeder Zugriff auf gesch\xFCtzte Inhalte und Funktionen MUSS kontrolliert\
        \ werden, bevor er ausgef\xFChrt wird."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a2.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a2
      ref_id: CON.10.A2.3
      description: "Die Autorisierungskomponente MUSS s\xE4mtliche Ressourcen und\
        \ Inhalte ber\xFCcksichtigen, die von der Webanwendung verwaltet werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a2.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a2
      ref_id: CON.10.A2.4
      description: "Ist die Zugriffskontrolle fehlerhaft, M\xDCSSEN Zugriffe abgelehnt\
        \ werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a2.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a2
      ref_id: CON.10.A2.5
      description: Es MUSS eine Zugriffskontrolle bei URL-Aufrufen und Objekt-Referenzen
        geben.
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10
      ref_id: CON.10.A3
      name: Sicheres Session-Management
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3
      ref_id: CON.10.A3.1
      description: "Session-IDs M\xDCSSEN geeignet gesch\xFCtzt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3
      ref_id: CON.10.A3.2
      description: "Session-IDs M\xDCSSEN zuf\xE4llig und mit ausreichender Entropie\
        \ erzeugt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3
      ref_id: CON.10.A3.3
      description: Falls das Framework der Webanwendung sichere Session-IDs generieren
        kann, MUSS diese Funktion des Frameworks verwendet werden.
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3
      ref_id: CON.10.A3.4
      description: "Sicherheitsrelevante Konfigurationsm\xF6glichkeiten des Frameworks\
        \ M\xDCSSEN ber\xFCcksichtigt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3
      ref_id: CON.10.A3.5
      description: "Wenn Session-IDs \xFCbertragen und von den Clients gespeichert\
        \ werden, M\xDCSSEN sie ausreichend gesch\xFCtzt \xFCbertragen werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3.6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3
      ref_id: CON.10.A3.6
      description: "Eine Webanwendung MUSS die M\xF6glichkeit bieten, eine bestehende\
        \ Sitzung explizit zu beenden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3.7
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3
      ref_id: CON.10.A3.7
      description: Nachdem ein Konto angemeldet wurde, MUSS eine bereits bestehende
        Session-ID durch eine neue ersetzt werden.
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3.8
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3
      ref_id: CON.10.A3.8
      description: "Sitzungen M\xDCSSEN eine maximale G\xFCltigkeitsdauer besitzen\
        \ (Timeout)."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3.9
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3
      ref_id: CON.10.A3.9
      description: "Inaktive Sitzungen M\xDCSSEN automatisch nach einer bestimmten\
        \ Zeit ung\xFCltig werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3.10
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a3
      ref_id: CON.10.A3.10
      description: "Nachdem die Sitzung ung\xFCltig ist, M\xDCSSEN alle Sitzungsdaten\
        \ ung\xFCltig und gel\xF6scht sein."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a4
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10
      ref_id: CON.10.A4
      name: Kontrolliertes Einbinden von Inhalten bei Webanwendungen
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a4.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a4
      ref_id: CON.10.A4.1
      description: "Es MUSS sichergestellt werden, dass eine Webanwendung ausschlie\xDF\
        lich vorgesehene Daten und Inhalte einbindet ausliefert."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a4.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a4
      ref_id: CON.10.A4.2
      description: "Die Ziele der Weiterleitungsfunktion einer Webanwendung M\xDC\
        SSEN ausreichend eingeschr\xE4nkt werden, sodass ausschlie\xDFlich auf vertrauensw\xFC\
        rdige Webseiten weitergeleitet wird."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a4.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a4
      ref_id: CON.10.A4.3
      description: "Falls die Vertrauensdom\xE4ne verlassen wird, MUSS ihn die Webanwendung\
        \ dar\xFCber informieren."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a5
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10
      ref_id: CON.10.A5
      name: Upload-Funktionen
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a5.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a5
      ref_id: CON.10.A5.1
      description: "Die Entwickelnden M\xDCSSEN sicherstellen, dass die Benutzenden\
        \ Dateien nur im vorgegebenen Pfad speichern k\xF6nnen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a5.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a5
      ref_id: CON.10.A5.2
      description: "Die Entwickelnden M\xDCSSEN sicherstellen, dass die Benutzenden\
        \ den Ablageort der Uploads nicht beeinflussen kann."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a5.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a5
      ref_id: CON.10.A5.3
      description: "Die Entwickelnden M\xDCSSEN Funktionen in die Webanwendung integrieren,\
        \ mit denen die Uploads w\xE4hrend des Betriebs der Webanwendung konfiguriert\
        \ werden k\xF6nnen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a6
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10
      ref_id: CON.10.A6
      name: Schutz vor unerlaubter automatisierter Nutzung von Webanwendungen
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a6.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a6
      ref_id: CON.10.A6.1
      description: "Die Entwickelnden M\xDCSSEN Sicherheitsmechanismen implementieren,\
        \ die die Webanwendung vor automatisierten Zugriffen sch\xFCtzen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a6.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a6
      ref_id: CON.10.A6.2
      description: "Bei der Implementierung der Sicherheitsmechanismen MUSS ber\xFC\
        cksichtigt werden, wie sich diese auf die Nutzungsm\xF6glichkeiten der berechtigten\
        \ Konten auswirken."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a7
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10
      ref_id: CON.10.A7
      name: Schutz vertraulicher Daten
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a7.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a7
      ref_id: CON.10.A7.1
      description: "Die Entwickelnden M\xDCSSEN sicherstellen, dass vertrauliche Daten\
        \ von den Clients zu den Servern nur mit der HTTP-Post-Methode \xFCbertragen\
        \ werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a7.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a7
      ref_id: CON.10.A7.2
      description: "Entwickelnde M\xDCSSEN durch Direktiven in der Webanwendung gew\xE4\
        hrleisten, dass clientseitig keine sch\xFCtzenswerten Daten zwischengespeichert\
        \ werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a7.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a7
      ref_id: CON.10.A7.3
      description: "Entwickelnde M\xDCSSEN sicherstellen, dass in Formularen keine\
        \ vertraulichen Formulardaten im Klartext angezeigt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a7.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a7
      ref_id: CON.10.A7.4
      description: Die Webanwendung SOLLTE verhindern, dass vertrauliche Daten vom
        Webbrowser unerwartet gespeichert werden.
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a7.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a7
      ref_id: CON.10.A7.5
      description: "S\xE4mtliche Zugangsdaten der Webanwendung M\xDCSSEN serverseitig\
        \ mithilfe von sicheren kryptografischen Algorithmen vor unbefugtem Zugriff\
        \ gesch\xFCtzt werden (Salted Hash)."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a7.6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a7
      ref_id: CON.10.A7.6
      description: "Die Dateien mit den Quelltexten der Webanwendung M\xDCSSEN vor\
        \ unerlaubten Abrufen gesch\xFCtzt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a8
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10
      ref_id: CON.10.A8
      name: Umfassende Eingabevalidierung und Ausgabekodierung
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a8.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a8
      ref_id: CON.10.A8.1
      description: "Die Entwickelnden M\xDCSSEN s\xE4mtliche an eine Webanwendung\
        \ \xFCbergebenen Daten als potenziell gef\xE4hrlich behandeln und geeignet\
        \ filtern."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a8.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a8
      ref_id: CON.10.A8.2
      description: "S\xE4mtliche Eingabedaten sowie Datenstr\xF6me und Sekund\xE4\
        rdaten, wie z. B. Session-IDs, M\xDCSSEN serverseitig validiert werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a8.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a8
      ref_id: CON.10.A8.3
      description: "Fehleingaben SOLLTEN m\xF6glichst nicht automatisch behandelt\
        \ werden (Sanitizing)."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a8.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a8
      ref_id: CON.10.A8.4
      description: "L\xE4sst es sich jedoch nicht vermeiden, MUSS Sanitizing sicher\
        \ umgesetzt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a8.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a8
      ref_id: CON.10.A8.5
      description: "Ausgabedaten M\xDCSSEN so kodiert werden, dass schadhafter Code\
        \ auf dem Zielsystem nicht interpretiert oder ausgef\xFChrt wird."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a9
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10
      ref_id: CON.10.A9
      name: Schutz vor SQL-Injection
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a9.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a9
      ref_id: CON.10.A9.1
      description: "Falls Daten an ein Datenbankmanagementsystem (DBMS) weitergeleitet\
        \ werden, M\xDCSSEN Stored Procedures bzw. Prepared SQL Statements eingesetzt\
        \ werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a9.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a9
      ref_id: CON.10.A9.2
      description: "Falls Daten an ein DBMS weitergeleitet werden und weder Stored\
        \ Procedures noch Prepared SQL Statements von der Einsatzumgebung unterst\xFC\
        tzt werden, M\xDCSSEN die SQL-Queries separat abgesichert werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a10
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10
      ref_id: CON.10.A10
      name: Restriktive Herausgabe sicherheitsrelevanter Informationen
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a10.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a10
      ref_id: CON.10.A10.1
      description: "Die Entwickelnden M\xDCSSEN sicherstellen, dass Webseiten, R\xFC\
        ckantworten und Fehlermeldungen von Webanwendungen keine Informationen enthalten,\
        \ die Angreifenden Hinweise darauf geben, wie er Sicherheitsmechanismen umgehen\
        \ kann."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a11
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10
      ref_id: CON.10.A11
      name: Softwarearchitektur einer Webanwendung
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a11.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a11
      ref_id: CON.10.A11.1
      description: "Die Entwickelnden SOLLTEN die Softwarearchitektur der Webanwendung\
        \ mit allen Bestandteilen und Abh\xE4ngigkeiten dokumentieren."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a11.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a11
      ref_id: CON.10.A11.2
      description: "Die Dokumentation SOLLTE bereits w\xE4hrend des Entwicklungsverlaufs\
        \ aktualisiert und angepasst werden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a11.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a11
      ref_id: CON.10.A11.3
      description: Die Dokumentation SOLLTE so gestaltet sein, dass sie schon in der
        Entwicklungsphase benutzt werden kann und Entscheidungen nachvollziehbar sind.
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a11.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a11
      ref_id: CON.10.A11.4
      description: "In der Dokumentation SOLLTEN alle f\xFCr den Betrieb notwendigen\
        \ Komponenten gekennzeichnet werden, die nicht Bestandteil der Webanwendung\
        \ sind."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a11.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a11
      ref_id: CON.10.A11.5
      description: In der Dokumentation SOLLTE beschrieben sein, welche Komponenten
        welche Sicherheitsmechanismen umsetzen, wie die Webanwendung in eine bestehende
        Infrastruktur integriert wird und welche kryptografischen Funktionen und Verfahren
        eingesetzt werden.
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a12
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10
      ref_id: CON.10.A12
      name: "Verifikation essenzieller \xC4nderungen"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a12.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a12
      ref_id: CON.10.A12.1
      description: "Falls wichtige Einstellungen mit der Anwendung ge\xE4ndert werden\
        \ sollen, dann SOLLTEN die Entwickelnden sicherstellen, dass die \xC4nderungen\
        \ durch die Eingabe eines Passworts erneut verifiziert werden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a12.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a12
      ref_id: CON.10.A12.2
      description: "Falls dies nicht m\xF6glich ist, dann SOLLTE die Webanwendung\
        \ auf andere geeignete Weise sicherstellen, dass sich die Benutzenden authentisieren."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a12.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a12
      ref_id: CON.10.A12.3
      description: "Die Benutzenden SOLLTEN \xFCber \xC4nderungen mithilfe von Kommunikationswegen\
        \ au\xDFerhalb der Webanwendung informiert werden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a13
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10
      ref_id: CON.10.A13
      name: Fehlerbehandlung
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a13.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a13
      ref_id: CON.10.A13.1
      description: "Treten w\xE4hrend der Laufzeit einer Webanwendung Fehler auf,\
        \ SOLLTEN diese so behandelt werden, dass die Webanwendung weiter in einem\
        \ konsistenten Zustand bleibt."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a13.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a13
      ref_id: CON.10.A13.2
      description: Die Webanwendung SOLLTE Fehlermeldungen protokollieren.
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a13.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a13
      ref_id: CON.10.A13.3
      description: Falls eine veranlasste Aktion einen Fehler verursacht, SOLLTE die
        Webanwendung diese Aktion abbrechen.
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a13.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a13
      ref_id: CON.10.A13.4
      description: Die Webanwendung SOLLTE im Fehlerfall den Zugriff auf eine angeforderte
        Ressource oder Funktion verweigern.
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a13.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a13
      ref_id: CON.10.A13.5
      description: Zuvor reservierte Ressourcen SOLLTEN im Rahmen der Fehlerbehandlung
        wieder freigegeben werden.
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a13.6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a13
      ref_id: CON.10.A13.6
      description: "Der Fehler SOLLTE m\xF6glichst von der Webanwendung selbst behandelt\
        \ werden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a14
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10
      ref_id: CON.10.A14
      name: Sichere HTTP-Konfiguration bei Webanwendungen
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a14.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a14
      ref_id: CON.10.A14.1
      description: Zum Schutz vor Clickjacking, Cross-Site-Scripting und anderen Angriffen
        SOLLTEN geeignete HTTP-Response-Header gesetzt werden.
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a14.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a14
      ref_id: CON.10.A14.2
      description: 'Es SOLLTEN mindestens die folgenden HTTP-Header verwendet werden:
        Content-Security-Policy, Strict-Transport-Security, Content-Type, X-Content-Type-Options
        sowie Cache-Control.'
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a14.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a14
      ref_id: CON.10.A14.3
      description: Die verwendeten HTTP-Header SOLLTEN auf die Webanwendung abgestimmt
        werden.
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a14.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a14
      ref_id: CON.10.A14.4
      description: "Die verwendeten HTTP-Header SOLLTEN so restriktiv wie m\xF6glich\
        \ sein."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a14.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a14
      ref_id: CON.10.A14.5
      description: "Cookies SOLLTEN grunds\xE4tzlich mit den Attributen secure, SameSite\
        \ und httponly gesetzt werden."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a15
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10
      ref_id: CON.10.A15
      name: Verhinderung von Cross-Site-Request-Forgery
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a15.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a15
      ref_id: CON.10.A15.1
      description: "Die Entwickelnden SOLLTEN die Webanwendung mit solchen Sicherheitsmechanismen\
        \ ausstatten, die eine Unterscheidung zwischen beabsichtigten Seitenaufrufen\
        \ und unbeabsichtigt weitergeleiteten Befehlen Dritter erm\xF6glichen."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a15.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a15
      ref_id: CON.10.A15.2
      description: "Dabei SOLLTE mindestens gepr\xFCft werden, ob neben der Session-ID\
        \ ein geheimes Token f\xFCr den Zugriff auf gesch\xFCtzte Ressourcen und Funktionen\
        \ ben\xF6tigt wird."
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a16
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10
      ref_id: CON.10.A16
      name: Mehr-Faktor-Authentisierung
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a16.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a16
      ref_id: CON.10.A16.1
      description: Es SOLLTE eine Mehr-Faktor-Authentisierung implementiert werden.
      implementation_groups:
      - S
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a17
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10
      ref_id: CON.10.A17
      name: Verhinderung der Blockade von Ressourcen
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a17.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a17
      ref_id: CON.10.A17.1
      description: Zum Schutz vor Denial-of-Service (DoS)-Angriffen SOLLTEN ressourcenintensive
        Operationen vermieden werden.
      implementation_groups:
      - E
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a17.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a17
      ref_id: CON.10.A17.2
      description: Falls ressourcenintensive Operationen notwendig sind, dann SOLLTEN
        diese besonders abgesichert werden.
      implementation_groups:
      - E
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a17.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a17
      ref_id: CON.10.A17.3
      description: "Bei Webanwendungen SOLLTE ein m\xF6glicher \xDCberlauf von Protokollierungsdaten\
        \ \xFCberwacht und verhindert werden."
      implementation_groups:
      - E
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a18
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10
      ref_id: CON.10.A18
      name: Kryptografische Absicherung vertraulicher Daten
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a18.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.10.a18
      ref_id: CON.10.A18.1
      description: Vertrauliche Daten einer Webanwendung SOLLTEN durch sichere, kryptografische
        Algorithmen abgesichert werden.
      implementation_groups:
      - E
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1
      assessable: false
      depth: 1
      ref_id: CON.11.1
      name: "Geheimschutz VS-NUR F\xDCR DEN DIENSTGEBRAUCH (VS-NfD) "
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1
      ref_id: CON.11.1.A1
      name: "Einhaltung der Grunds\xE4tze zur VS-Verarbeitung mit IT nach \xA7 3,\
        \ 4 und 6 und Nr. 1 Anlage V zur VSA"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1
      ref_id: CON.11.1.A1.1
      description: "VS des Geheimhaltungsgrades VS-NfD D\xDCRFEN NUR mit VS-IT verarbeitet,\
        \ die hierf\xFCr freigegeben ist."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1
      ref_id: CON.11.1.A1.2
      description: "Private IT DARF NICHT f\xFCr die Verarbeitung von Verschlusssachen\
        \ eingesetzt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1
      ref_id: CON.11.1.A1.3
      description: "Bei der Verarbeitung von VS mit VS-IT MUSS der Grundsatz \"Kenntnis\
        \ nur, wenn n\xF6tig\" eingehalten werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1
      ref_id: CON.11.1.A1.4
      description: "Es D\xDCRFEN NUR Personen Kenntnis von einer VS erhalten, die\
        \ auf Grund ihrer Aufgabenerf\xFCllung von ihr Kenntnis erhalten m\xFCssen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1
      ref_id: CON.11.1.A1.5
      description: "Personen D\xDCRFEN NICHT umfassender oder eher \xFCber eine VS\
        \ unterrichtet werden, als dies aus Gr\xFCnden der Aufgabenerf\xFCllung notwendig\
        \ ist."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1.6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1
      ref_id: CON.11.1.A1.6
      description: "Die Einhaltung des Grundsatzes \u201EKenntnis nur, wenn n\xF6\
        tig\u201C SOLLTE, insbesondere falls die VS-IT durch mehrere Benutzende verwendet\
        \ wird, prim\xE4r \xFCber technische Ma\xDFnahmen sichergestellt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1.7
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1
      ref_id: CON.11.1.A1.7
      description: "Nach dem Grundsatz der mehrschichtigen Sicherheit M\xDCSSEN personelle,\
        \ organisatorische, materielle und technische Ma\xDFnahmen getroffen werden,\
        \ die in ihrem Zusammenwirken"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1.8
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1
      ref_id: CON.11.1.A1.8
      description: "\u2022 Risiken eines Angriffs reduzieren (Pr\xE4vention),"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1.9
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1
      ref_id: CON.11.1.A1.9
      description: "\u2022 Angriffe erkennbar machen (Detektion) und"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1.10
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1
      ref_id: CON.11.1.A1.10
      description: "\u2022 im Falle eines erfolgreichen Angriffs die negativen Folgen\
        \ begrenzen (Reaktion)."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1.11
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1
      ref_id: CON.11.1.A1.11
      description: "Bei der Erf\xFCllung der Anforderungen des vorliegenden Bausteins\
        \ M\xDCSSEN die relevanten Technischen Leitlinien des BSI (BSI TL) beachtet\
        \ werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1.12
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a1
      ref_id: CON.11.1.A1.12
      description: "Falls von den BSI TL abgewichen werden soll, dann DARF dies NUR\
        \ in Ausnahmef\xE4llen und im Einvernehmen mit dem BSI erfolgen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a2
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1
      ref_id: CON.11.1.A2
      name: "Erstellung und Fortschreibung der VS-IT-Dokumentation nach \xA7 12 und\
        \ Nr. 2.2 Anlage II zur VSA"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a2.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a2
      ref_id: CON.11.1.A2.1
      description: Jede Dienststelle, die VS-IT einsetzt, MUSS als Teil der Geheimschutzdokumentation
        eine VS-IT-Dokumentation erstellen.
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a2.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a2
      ref_id: CON.11.1.A2.2
      description: "Die VS-IT-Dokumentation MUSS alle Dokumente beinhalten, welche\
        \ in Nr. 2.2 Anlage II zur VSA aufgef\xFChrt sind."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a2.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a2
      ref_id: CON.11.1.A2.3
      description: "Die VS-IT-Dokumentation MUSS bei allen geheimschutzrelevanten\
        \ \xC4nderungen aktualisiert werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a2.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a2
      ref_id: CON.11.1.A2.4
      description: "Sie MUSS zudem mindestens alle drei Jahre auf Aktualit\xE4t, Vollst\xE4\
        ndigkeit und Erforderlichkeit bestehender und noch zu treffender Geheimschutzma\xDF\
        nahmen \xFCberpr\xFCft werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1
      ref_id: CON.11.1.A3
      name: "Einsatz von IT-Sicherheitsprodukten nach \xA7\xA7 51, 52 VSA"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3
      ref_id: CON.11.1.A3.1
      description: "Auf Basis der im VS-Produktkatalog f\xFCr einzelne Produkttypen\
        \ vom BSI festgelegten Zulassungsrelevanz und insbesondere basierend auf den\
        \ Ergebnissen der Strukturanalyse M\xDCSSEN alle f\xFCr die geplante VS-IT\
        \ relevanten IT-Sicherheitsfunktionen identifiziert werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3
      ref_id: CON.11.1.A3.2
      description: "Diese lassen sich den folgenden Kategorien gem\xE4\xDF \xA7 52\
        \ VSA zuordnen:"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3
      ref_id: CON.11.1.A3.3
      description: "\u2022 Zugangs- und Zugriffskontrolle,"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3
      ref_id: CON.11.1.A3.4
      description: "\u2022 Identifikation und Authentisierung,"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3
      ref_id: CON.11.1.A3.5
      description: "\u2022 kryptographische Unterst\xFCtzung,"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3.6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3
      ref_id: CON.11.1.A3.6
      description: "\u2022 Sicherheitsmanagement,"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3.7
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3
      ref_id: CON.11.1.A3.7
      description: "\u2022 Informationsflusskontrolle,"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3.8
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3
      ref_id: CON.11.1.A3.8
      description: "\u2022 interner Schutz der Benutzerdaten,"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3.9
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3
      ref_id: CON.11.1.A3.9
      description: "\u2022 Selbstschutz der Sicherheitsfunktionen und ihrer Daten,"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3.10
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3
      ref_id: CON.11.1.A3.10
      description: "\u2022 Netztrennung,"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3.11
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3
      ref_id: CON.11.1.A3.11
      description: "\u2022 Schutz der Unversehrtheit,"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3.12
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3
      ref_id: CON.11.1.A3.12
      description: "\u2022 Verf\xFCgbarkeits\xFCberwachung oder"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3.13
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3
      ref_id: CON.11.1.A3.13
      description: "\u2022 Sicherheitsprotokollierung und Nachweisf\xFChrung."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3.14
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3
      ref_id: CON.11.1.A3.14
      description: "Anschlie\xDFend M\xDCSSEN die identifizierten IT-Sicherheitsfunktionen\
        \ den jeweiligen Teilkomponenten der VS-IT unter Ber\xFCcksichtigung des VS-Produktkataloges\
        \ des BSI zugeordnet werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3.15
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3
      ref_id: CON.11.1.A3.15
      description: "Jede identifizierte und f\xFCr den Schutz von VS wesentlich verantwortliche\
        \ Teilkomponente MUSS als IT-Sicherheitsprodukt gem\xE4\xDF VSA festgelegt\
        \ und behandelt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3.16
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3
      ref_id: CON.11.1.A3.16
      description: "Sofern das identifizierte IT-Sicherheitsprodukt einem Produkttyp\
        \ angeh\xF6rt f\xFCr das eine Zulassungsaussage gem\xE4\xDF BSI TL - IT 01\
        \ erforderlich ist, MUSS ein entsprechendes Produkt gem\xE4\xDF BSI Schrift\
        \ 7164 (Liste der zugelassenen Produkte) verwendet werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3.17
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3
      ref_id: CON.11.1.A3.17
      description: Sofern dort keine IT-Sicherheitsprodukte gelistet sind, MUSS Kontakt
        mit der Zulassungsstelle des BSI aufgenommen werden.
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3.18
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a3
      ref_id: CON.11.1.A3.18
      description: "Bei der Verwendung von IT-Sicherheitsprodukten mit Zulassungsaussage\
        \ M\xDCSSEN zus\xE4tzlich die Bestimmungen des BSI f\xFCr den Einsatz und\
        \ Betrieb (SecOPs) des jeweiligen Produktes eingehalten werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1
      ref_id: CON.11.1.A4
      name: "Beschaffung von VS-IT nach \xA7 49 VSA"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4
      ref_id: CON.11.1.A4.1
      description: "Bevor VS-IT beschafft wird, MUSS sichergestellt werden, dass deren\
        \ Sicherheit w\xE4hrend des gesamten Lebenszyklus ab dem Zeitpunkt, zu dem\
        \ fest steht, dass die IT zur VS-Verarbeitung eingesetzt werden soll, bis\
        \ zur Aussonderung kontinuierlich gew\xE4hrleistet wird."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4
      ref_id: CON.11.1.A4.2
      description: "Um einen durchgehenden Geheimschutz sicherzustellen, M\xDCSSEN\
        \ die Vergabeunterlagen so formuliert werden, dass die Anforderungen der VSA\
        \ vollst\xE4ndig erf\xFCllt werden k\xF6nnen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4
      ref_id: CON.11.1.A4.3
      description: "Bei Beschaffungsauftr\xE4gen f\xFCr VS-IT M\xDCSSEN die notwendigen\
        \ IT-Sicherheitsfunktionen der jeweiligen IT-Produkte vorab festgelegt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4
      ref_id: CON.11.1.A4.4
      description: "Bei der Formulierung der Vergabeunterlagen M\xDCSSEN insbesondere\
        \ die"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4
      ref_id: CON.11.1.A4.5
      description: "\u2022 Aufbewahrung,"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4.6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4
      ref_id: CON.11.1.A4.6
      description: "\u2022 Archivierung und"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4.7
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4
      ref_id: CON.11.1.A4.7
      description: "\u2022 L\xF6schung von elektronischer VS sowie"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4.8
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4
      ref_id: CON.11.1.A4.8
      description: "\u2022 Aussonderung,"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4.9
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4
      ref_id: CON.11.1.A4.9
      description: "\u2022 Wartung und Instandsetzung von VS-IT ber\xFCcksichtigt\
        \ werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4.10
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4
      ref_id: CON.11.1.A4.10
      description: Sofern einem zu beschaffenden IT-Produkt eine IT-Sicherheitsfunktion
        zugeordnet ist, SOLLTE ein IT-Produkt aus der Liste der zugelassenen IT-Sicherheitsprodukte
        beschafft werden.
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4.11
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4
      ref_id: CON.11.1.A4.11
      description: "Wird stattdessen ein Produkt ohne Zulassungsaussage ausgew\xE4\
        hlt, dann SOLLTE im Vorhinein mit dem BSI abgekl\xE4rt werden, ob es zugelassen\
        \ werden kann."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4.12
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4
      ref_id: CON.11.1.A4.12
      description: "Zus\xE4tzlich SOLLTE in der Ausschreibung aufgenommen werden,\
        \ dass der Hersteller an einem Zulassungsverfahren mitwirken muss (siehe BSI\
        \ TL - IT 01)."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4.13
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a4
      ref_id: CON.11.1.A4.13
      description: "Vertr\xE4ge M\xDCSSEN derart gestaltet werden, dass bei einer\
        \ R\xFCckgabe von defekten oder geleasten IT-Produkten deren Datentr\xE4ger\
        \ oder sonstige Komponenten, auf denen VS gespeichert sein k\xF6nnten, im\
        \ Besitz der Dienststelle verbleiben."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a5
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1
      ref_id: CON.11.1.A5
      name: "Verpflichtung bei Zugang zu VS nach \xA7 4 VSA und Anlage V zur VSA"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a5.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a5
      ref_id: CON.11.1.A5.1
      description: "Bevor eine Person Zugang zu VS des Geheimhaltungsgrades VS-NfD\
        \ erh\xE4lt, MUSS sie auf Anlage V verpflichtet werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a5.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a5
      ref_id: CON.11.1.A5.2
      description: "Ein Exemplar der Anlage V zur VSA MUSS jeder Person gegen Empfangsbest\xE4\
        tigung zug\xE4nglich gemacht werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a5.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a5
      ref_id: CON.11.1.A5.3
      description: "Wird Personal von nicht\xF6ffentlichen Stellen Zugang zu VS gew\xE4\
        hrt, so MUSS Nr. 6.6 Anlage V zur VSA beachtet werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a5.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a5
      ref_id: CON.11.1.A5.4
      description: "Von der Verpflichtung einer Person DARF NUR abgesehen werden,\
        \ falls an VS-IT nur kurzzeitig gearbeitet und w\xE4hrenddessen ein Zugriff\
        \ auf VS ausgeschlossen werden kann."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a6
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1
      ref_id: CON.11.1.A6
      name: "Beaufsichtigung und Begleitung von Fremdpersonal f\xFCr VS-IT nach \xA7\
        \xA7 3, 4 VSA"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a6.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a6
      ref_id: CON.11.1.A6.1
      description: "Nicht verpflichtetes Fremdpersonal, das an VS-IT arbeitet, MUSS\
        \ w\xE4hrend der gesamten Zeit begleitet und beaufsichtigt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a6.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a6
      ref_id: CON.11.1.A6.2
      description: "Die begleitenden Personen M\xDCSSEN \xFCber die notwendigen Fachkenntnisse\
        \ verf\xFCgen, um die T\xE4tigkeiten kontrollieren zu k\xF6nnen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a7
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1
      ref_id: CON.11.1.A7
      name: "Kennzeichnung von elektronischen VS und Datentr\xE4gern nach \xA7\xA7\
        \ 20, 54 und Anlage III, V und VIII zur VSA"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a7.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a7
      ref_id: CON.11.1.A7.1
      description: "Elektronische VS M\xDCSSEN nach den Vorgaben der VSA gekennzeichnet\
        \ werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a7.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a7
      ref_id: CON.11.1.A7.2
      description: "Die Kennzeichnung MUSS bei der Verarbeitung von VS mit VS-IT w\xE4\
        hrend der gesamten Dauer ihrer Einstufung jederzeit erkennbar sein."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a7.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a7
      ref_id: CON.11.1.A7.3
      description: Die Kennzeichnung MUSS auch bei kopierten, elektronisch versendeten
        oder ausgedruckten VS erhalten bleiben.
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a7.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a7
      ref_id: CON.11.1.A7.4
      description: "Falls die Beschaffenheit elektronischer VS eine Kennzeichnung\
        \ nach VSA nicht zul\xE4sst, dann M\xDCSSEN VS sinngem\xE4\xDF gekennzeichnet\
        \ werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a7.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a7
      ref_id: CON.11.1.A7.5
      description: "Der Dateiname einer elektronischen VS SOLLTE eine Kennzeichnung\
        \ enthalten, die den VS-Charakter des Inhalts erkennen l\xE4sst, ohne die\
        \ VS \xF6ffnen zu m\xFCssen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a7.6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a7
      ref_id: CON.11.1.A7.6
      description: "E-Mails M\xDCSSEN entsprechend des Musters 11 der Anlage VIII\
        \ zur VSA gekennzeichnet werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a7.7
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a7
      ref_id: CON.11.1.A7.7
      description: "Falls eine elektronische Kennzeichnung von VS (im Sinne von Metadaten)\
        \ verwendet werden soll, dann MUSS gepr\xFCft werden, ob diese IT-Sicherheitsfunktionen\
        \ \xFCbernimmt (siehe CON.11.1.A3 Einsatz von IT-Sicherheitsprodukten nach\
        \ \xA7\xA7 51, 52 VSA)."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a7.8
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a7
      ref_id: CON.11.1.A7.8
      description: "Datentr\xE4ger, auf denen elektronische VS des Geheimhaltungsgrades\
        \ VS-NfD durch Produkte ohne Zulassungsaussage verschl\xFCsselt gespeichert\
        \ sind, M\xDCSSEN mit dem Geheimhaltungsgrad der darauf gespeicherten VS gekennzeichnet\
        \ werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a7.9
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a7
      ref_id: CON.11.1.A7.9
      description: "Falls sich durch die Zusammenstellung der VS auf dem Datentr\xE4\
        ger ein Datenbestand ergibt, welcher eine h\xF6here Einstufung erforderlich\
        \ macht, dann MUSS der Datentr\xE4ger selbst als VS des Geheimhaltungsgrades\
        \ VS-VERTRAULICH behandelt und gekennzeichnet werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a8
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1
      ref_id: CON.11.1.A8
      name: "Verwaltung und Nachweis von elektronischen VS nach \xA7 21 VSA"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a8.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a8
      ref_id: CON.11.1.A8.1
      description: "F\xFCr die Verwaltung von elektronischen VS M\xDCSSEN die Grunds\xE4\
        tze ordnungsgem\xE4\xDFer Aktenf\xFChrung (gem\xE4\xDF Registraturrichtlinie\
        \ f\xFCr das Bearbeiten und Verwalten von Schriftgut in Bundesministerien)\
        \ und die Vorgaben der VSA zur Verwaltung und Nachweisf\xFChrung von VS eingehalten\
        \ werden (keine Nachweisf\xFChrung f\xFCr VS des Geheimhaltungsgrades VS-NfD\
        \ erforderlich)."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a8.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a8
      ref_id: CON.11.1.A8.2
      description: "Elektronische VS, die als VS-NfD eingestuft sind, D\xDCRFEN NUR\
        \ unter Einhaltung des Grundsatzes \u201EKenntnis nur, wenn n\xF6tig\u201C\
        \ in offenen (elektronischen) Registraturen verwaltet werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a9
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1
      ref_id: CON.11.1.A9
      name: "Speicherung elektronischer VS nach \xA7 23 und Nr. 5 Anlage V zur VSA"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a9.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a9
      ref_id: CON.11.1.A9.1
      description: "Elektronische VS M\xDCSSEN mit einem IT-Sicherheitsprodukt mit\
        \ Zulassungsaussage verschl\xFCsselt gespeichert oder entsprechend den Vorgaben\
        \ der VSA materiell gesichert werden (siehe CON.11.1.A15 Handhabung von Datentr\xE4\
        gern und IT-Produkten nach \xA7 54 und Anlage V zur VSA)."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1
      ref_id: CON.11.1.A10
      name: "Elektronische \xDCbertragung von VS nach \xA7\xA7 24, 53, 55 und Nr.\
        \ 6.2 Anlage V zur VSA"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10
      ref_id: CON.11.1.A10.1
      description: "Falls VS elektronisch \xFCbertragen werden sollen, M\xDCSSEN die\
        \ Regelungen der VSA zur Weitergabe von VS (\xA7 24 VSA) eingehalten werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10
      ref_id: CON.11.1.A10.2
      description: "F\xFCr die Weitergabe an Parlamente, Landesbeh\xF6rden und nicht\
        \ \xF6ffentliche Stellen M\xDCSSEN zus\xE4tzlich die besonderen Regelungen\
        \ nach \xA7\xA7 25 und 26 VSA beachtet werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10
      ref_id: CON.11.1.A10.3
      description: "Die VS-IT aller Kommunikationspartner MUSS f\xFCr die Verarbeitung\
        \ von VS des Geheimhaltungsgrads VS-NfD freigegeben sein."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10
      ref_id: CON.11.1.A10.4
      description: "Werden VS elektronisch \xFCbertragen, M\xDCSSEN sie grunds\xE4\
        tzlich durch ein IT-Sicherheitsprodukt mit Zulassungsaussage verschl\xFCsselt\
        \ werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10
      ref_id: CON.11.1.A10.5
      description: "Auf eine Verschl\xFCsselung DARF NUR verzichtet werden, falls:"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10.6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10
      ref_id: CON.11.1.A10.6
      description: "\u2022 VS ausschlie\xDFlich leitungsgebunden \xFCbertragen werden\
        \ und die \xDCbertragungseinrichtungen, einschlie\xDFlich Kabel und Verteiler,\
        \ gegen unbefugten Zugriff gesch\xFCtzt sind, oder"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10.7
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10
      ref_id: CON.11.1.A10.7
      description: "\u2022 neben den Hausnetzen zus\xE4tzlich das Transportnetz f\xFC\
        r die Verarbeitung von VS freigegeben ist."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10.8
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10
      ref_id: CON.11.1.A10.8
      description: "Es DARF NUR innerhalb von R\xE4umen und Bereichen, die gegen unkontrollierten\
        \ Zutritt gesch\xFCtzt sind, von einem Zugriffsschutz ausgegangen werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10.9
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10
      ref_id: CON.11.1.A10.9
      description: "VS D\xDCRFEN NUR in Ausnahmef\xE4llen nach \xA7 55 Abs."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10.10
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10
      ref_id: CON.11.1.A10.10
      description: "2-4 VSA unter Einhaltung der dort genannten Anforderungen und\
        \ Vorsichtsma\xDFnahmen auf anderem Wege elektronisch \xFCbertragen werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10.11
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a10
      ref_id: CON.11.1.A10.11
      description: "Falls im Vorhinein zu erwarten ist, dass VS elektronisch \xFC\
        bertragen werden k\xF6nnten, DARF die Ausnahmeregelung nach \xA7 55 VSA NICHT\
        \ angewendet werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a11
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1
      ref_id: CON.11.1.A11
      name: "Mitnahme elektronischer VS nach \xA7 28 VSA und Nr. 7 Anlage V zur VSA"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a11.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a11
      ref_id: CON.11.1.A11.1
      description: "Elektronische VS D\xDCRFEN NUR auf Dienstreisen und zu Dienstbesprechungen\
        \ mitgenommen werden, soweit dies dienstlich notwendig ist und sie angemessen\
        \ gegen unbefugte Kenntnisnahme gesichert werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a11.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a11
      ref_id: CON.11.1.A11.2
      description: "Werden diese pers\xF6nlich mitgenommen, M\xDCSSEN diese folgenderma\xDF\
        en gespeichert werden:"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a11.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a11
      ref_id: CON.11.1.A11.3
      description: "\u2022 auf hierf\xFCr freigegebener VS-IT,"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a11.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a11
      ref_id: CON.11.1.A11.4
      description: "\u2022 auf einem Datentr\xE4ger, der in einem verschlossenen Umschlag\
        \ transportiert wird,"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a11.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a11
      ref_id: CON.11.1.A11.5
      description: "\u2022 auf einem Datentr\xE4ger, der mit einem IT-Sicherheitsprodukt\
        \ mit Zulassungsaussage verschl\xFCsselt wurde, oder"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a11.6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a11
      ref_id: CON.11.1.A11.6
      description: "\u2022 durch ein IT-Sicherheitsprodukt mit Zulassungsaussage verschl\xFC\
        sselt, falls der Datentr\xE4ger selbst nicht durch ein IT-Sicherheitsprodukt\
        \ mit Zulassungsaussage verschl\xFCsselt wurde."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a11.7
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a11
      ref_id: CON.11.1.A11.7
      description: "Falls VS des Geheimhaltungsgrades VS-NfD in Privatwohnungen verarbeitet\
        \ werden sollen, dann D\xDCRFEN diese NUR elektronisch mit hierf\xFCr freigegebener\
        \ VS-IT verarbeitet werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a12
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1
      ref_id: CON.11.1.A12
      name: "Archivierung elektronischer VS nach \xA7\xA7 30, 31 VSA"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a12.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a12
      ref_id: CON.11.1.A12.1
      description: "VS M\xDCSSEN entsprechend dem Bundesarchivgesetz wie nicht eingestufte\
        \ Informationen ausgesondert werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a12.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a12
      ref_id: CON.11.1.A12.2
      description: "Schon bei Einf\xFChrung von Systemen zur elektronischen Schriftgutverwaltung\
        \ und Vorgangsbearbeitung M\xDCSSEN die technischen Verfahren zur Aussonderung\
        \ fr\xFChzeitig mit dem zust\xE4ndigen Archiv abgesprochen werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a12.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a12
      ref_id: CON.11.1.A12.3
      description: "Falls das zust\xE4ndige Archiv VS nicht \xFCbernehmen m\xF6chte,\
        \ M\xDCSSEN VS gem\xE4\xDF CON.11.1.A13 L\xF6schung elektronischer VS, Vernichtung\
        \ von Datentr\xE4gern und IT-Produkten nach \xA7\xA7 32, 56 VSA sicher gel\xF6\
        scht bzw. vernichtet werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a13
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1
      ref_id: CON.11.1.A13
      name: "L\xF6schung elektronischer VS, Vernichtung von Datentr\xE4gern und IT-Produkten\
        \ nach \xA7\xA7 32, 56 und Nr. 8 Anlage V zur VSA"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a13.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a13
      ref_id: CON.11.1.A13.1
      description: "Um VS oder Datentr\xE4ger zu l\xF6schen, die mit einem IT-Sicherheitsprodukt\
        \ mit Zulassungsaussage verschl\xFCsselt wurden, MUSS der Schl\xFCssel unter\
        \ Beachtung der SecOPs gel\xF6scht werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a13.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a13
      ref_id: CON.11.1.A13.2
      description: "Sollen elektronische VS gel\xF6scht werden, die nicht durch ein\
        \ IT-Sicherheitsprodukt mit Zulassungsaussage verschl\xFCsselt wurden, dann\
        \ MUSS der gesamte Datentr\xE4ger oder das IT-Produkt, auf dem VS gespeichert\
        \ sind, mittels eines IT-Sicherheitsprodukts mit Zulassungsaussage gel\xF6\
        scht werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a13.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a13
      ref_id: CON.11.1.A13.3
      description: "Die Datentr\xE4ger oder IT-Produkte M\xDCSSEN gel\xF6scht werden,\
        \ bevor sie die gesicherte Einsatzumgebung dauerhaft verlassen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a13.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a13
      ref_id: CON.11.1.A13.4
      description: "Sie M\xDCSSEN physisch vernichtet werden, falls sie nicht gel\xF6\
        scht werden k\xF6nnen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a13.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a13
      ref_id: CON.11.1.A13.5
      description: "F\xFCr die Vernichtung M\xDCSSEN Produkte oder Verfahren eingesetzt\
        \ oder Dienstleister beauftragt werden, die die Anforderungen der BSI TL -\
        \ M 50 erf\xFCllen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a13.6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a13
      ref_id: CON.11.1.A13.6
      description: "Die zuvor beschriebenen Teilanforderungen M\xDCSSEN auch bei defekten\
        \ Datentr\xE4gern und IT-Produkten eingehalten werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a14
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1
      ref_id: CON.11.1.A14
      name: "Zugangs- und Zugriffsschutz nach \xA7 3 VSA"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a14.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a14
      ref_id: CON.11.1.A14.1
      description: "VS-IT, die f\xFCr VS-NfD eingestufte VS eingesetzt wird, MUSS\
        \ so gesch\xFCtzt werden, dass ein Zugang zur VS-IT und ein Zugriff auf VS\
        \ nur f\xFCr verpflichtete Personen (siehe CON.11.1.A5 Verpflichtung bei Zugang\
        \ zu VS nach \xA7 4 und Anlage V zur VSA) m\xF6glich ist."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a14.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a14
      ref_id: CON.11.1.A14.2
      description: "Der Schutz der VS MUSS sichergestellt werden \xFCber:"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a14.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a14
      ref_id: CON.11.1.A14.3
      description: "\u2022 IT-Sicherheitsprodukte mit Zulassungsaussage,"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a14.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a14
      ref_id: CON.11.1.A14.4
      description: "\u2022 materielle,"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a14.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a14
      ref_id: CON.11.1.A14.5
      description: "\u2022 organisatorische oder"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a14.6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a14
      ref_id: CON.11.1.A14.6
      description: "\u2022 personelle Ma\xDFnahmen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a14.7
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a14
      ref_id: CON.11.1.A14.7
      description: "F\xFCr den Zugangs- und Zugriffsschutz SOLLTE eine Mehr-Faktor-Authentisierung\
        \ genutzt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a15
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1
      ref_id: CON.11.1.A15
      name: "Handhabung von Datentr\xE4gern und IT-Produkten nach \xA7 54 und Anlage\
        \ V zur VSA"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a15.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a15
      ref_id: CON.11.1.A15.1
      description: "Datentr\xE4ger und IT-Produkte M\xDCSSEN bei Nichtgebrauch in\
        \ verschlossenen Beh\xE4ltern oder R\xE4umen aufbewahrt werden, falls:"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a15.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a15
      ref_id: CON.11.1.A15.2
      description: "\u2022 der Datentr\xE4ger bzw. das IT-Produkt selbst als VS-NfD\
        \ eingestuft ist,"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a15.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a15
      ref_id: CON.11.1.A15.3
      description: "\u2022 auf dem Datentr\xE4ger bzw. IT-Produkt unverschl\xFCsselte\
        \ VS des Geheimhaltungsgrades VS-NfD gespeichert sind oder"
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a15.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a15
      ref_id: CON.11.1.A15.4
      description: "\u2022 auf dem Datentr\xE4ger bzw. IT-Produkt VS des Geheimhaltungsgrades\
        \ VS-NfD durch ein Produkt ohne Zulassungsaussage verschl\xFCsselt gespeichert\
        \ sind."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a16
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1
      ref_id: CON.11.1.A16
      name: "Zusammenschaltung von VS-IT nach \xA7 58 VSA"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a16.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a16
      ref_id: CON.11.1.A16.1
      description: "Bevor VS-IT mit anderer VS-IT zusammengeschaltet werden darf,\
        \ MUSS gepr\xFCft werden, ob und inwieweit Informationen zwischen der zusammengeschalteten\
        \ VS-IT ausgetauscht werden d\xFCrfen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a16.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a16
      ref_id: CON.11.1.A16.2
      description: "Bei der Pr\xFCfung MUSS das jeweilige Schutzniveau und der Grundsatz\
        \ \u201EKenntnis nur, wenn n\xF6tig\u201C ber\xFCcksichtigt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a16.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a16
      ref_id: CON.11.1.A16.3
      description: "Abh\xE4ngig vom Ergebnis der Pr\xFCfung M\xDCSSEN IT-Sicherheitsfunktionen\
        \ zum Schutz der System\xFCberg\xE4nge implementiert werden (siehe CON.11.1.A3\
        \ Einsatz von IT-Sicherheitsprodukten nach \xA7\xA7 51, 52 VSA)."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a16.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a16
      ref_id: CON.11.1.A16.4
      description: "Vor der Zusammenschaltung der VS-IT MUSS bewertet und dokumentiert\
        \ werden, ob diese f\xFCr das angestrebte Szenario zwingend erforderlich ist\
        \ und ob durch die Zusammenschaltung eine besondere Gef\xE4hrdung der einzelnen\
        \ Teilsysteme entsteht."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a16.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a16
      ref_id: CON.11.1.A16.5
      description: "Es MUSS gepr\xFCft werden, ob der durch die Zusammenschaltung\
        \ von VS-IT entstandene Gesamtbestand der Daten h\xF6her einzustufen ist und\
        \ weitere Geheimschutzma\xDFnahmen notwendig werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a16.6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a16
      ref_id: CON.11.1.A16.6
      description: "Wird VS-IT f\xFCr die Verarbeitung von VS des Geheimhaltungsgrads\
        \ VS-NfD direkt oder kaskadiert mit VS-IT f\xFCr die Verarbeitung von VS des\
        \ Geheimhaltungsgrades STRENG GEHEIM gekoppelt, dann MUSS sichergestellt werden,\
        \ dass keine Verbindungen zu ungesch\xFCtzten oder \xF6ffentlichen Netzen\
        \ hergestellt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a17
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1
      ref_id: CON.11.1.A17
      name: "Wartungs- und Instandsetzungsarbeiten von VS-IT nach \xA7 3 Abs. 3 VSA"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a17.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a17
      ref_id: CON.11.1.A17.1
      description: "Wartungs- und Instandsetzungsarbeiten an Komponenten der VS-IT\
        \ SOLLTEN innerhalb der eigenen Dienstliegenschaft durchgef\xFChrt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a17.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a17
      ref_id: CON.11.1.A17.2
      description: "Ist dies nicht m\xF6glich, MUSS sichergestellt werden, dass die\
        \ Anforderungen der VSA sowohl w\xE4hrend des Transports als auch bei den\
        \ Wartungs- und Instandsetzungsarbeiten erf\xFCllt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a17.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a17
      ref_id: CON.11.1.A17.3
      description: "W\xE4hrend der Wartungs- und Instandsetzungsarbeiten SOLLTE die\
        \ Verarbeitung von VS in dem von der Wartung betroffenen Bereich der VS-IT\
        \ eingestellt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a17.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a17
      ref_id: CON.11.1.A17.4
      description: "Ist dies nicht m\xF6glich, MUSS w\xE4hrend des Zeitraums der Wartungs-\
        \ und Instandsetzungsarbeiten l\xFCckenlos sichergestellt werden, dass keine\
        \ VS abflie\xDFen k\xF6nnen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a17.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a17
      ref_id: CON.11.1.A17.5
      description: "Nach Abschluss der Wartungs- und Instandsetzungsarbeiten MUSS\
        \ der oder die Geheimschutzbeauftragte bewerten, ob sich geheimschutzrelevante\
        \ \xC4nderungen an der VS-IT ergeben haben."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a18
      assessable: false
      depth: 2
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1
      ref_id: CON.11.1.A18
      name: "Fernwartung von VS-IT nach \xA7 3 Abs. 3 VSA"
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a18.1
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a18
      ref_id: CON.11.1.A18.1
      description: "Wird VS-IT ferngewartet, dann MUSS die Fernwartungsverbindung\
        \ verschl\xFCsselt sein."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a18.2
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a18
      ref_id: CON.11.1.A18.2
      description: "F\xFCr die Verschl\xFCsselung M\xDCSSEN IT-Sicherheitsprodukte\
        \ mit Zulassungsaussage eingesetzt werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a18.3
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a18
      ref_id: CON.11.1.A18.3
      description: "Die IT, mit der die Fernwartung durchgef\xFChrt wird, sowie die\
        \ \xDCbertragungsstrecken M\xDCSSEN als VS-IT behandelt und als Schutzobjekte\
        \ definiert werden."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a18.4
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a18
      ref_id: CON.11.1.A18.4
      description: Die Fernwartungsverbindung MUSS durch die Dienststelle auf- und
        abgebaut werden.
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a18.5
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a18
      ref_id: CON.11.1.A18.5
      description: "Die Dienststelle MUSS in der Lage sein, die Verbindung bei Auff\xE4\
        lligkeiten auch w\xE4hrend der Wartung zu unterbrechen."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a18.6
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a18
      ref_id: CON.11.1.A18.6
      description: "F\xFCr die Fernwartung von VS-IT MUSS ein Informationssicherheitskonzept\
        \ erstellt werden, das alle Komponenten, die an der Fernwartung beteiligt\
        \ sind, ber\xFCcksichtigt."
      implementation_groups:
      - B
    - urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a18.7
      assessable: true
      depth: 3
      parent_urn: urn:intuitem:risk:req_node:bs-it-gs-2023-con-konzeption-und-vorgehensweisen:con.11.1.a18
      ref_id: CON.11.1.A18.7
      description: "Hierbei M\xDCSSEN insbesondere die Netz\xFCberg\xE4nge und die\
        \ VS-IT, aus dem die Fernwartung gesteuert wird, betrachtet werden."
      implementation_groups:
      - B