Mindeststandard des BSI zum HV-Benchmark kompakt

In der Bundesverwaltung wird das Bewertungsschema „HVB-kompakt“ (HVB-kompakt) zur Ermittlung des Informationssicherheitsniveaus von IT-Dienstleistungen und Rechenzentren herangezogen. Der HVB-kompakt ist eine komprimierte Version des HV-Benchmark und verwendet ihm gegenüber eine leicht modifizierte Methodik und ist um Revisionselemente ergänzt. Mittels dieses modular aufgebauten Bewertungsschemas und unter der Nutzung von Reifegradmodellen wird die Verlässlichkeit einer zu betrachtenden IT-Dienstleistung oder eines Rechenzentrums relativ einfach gemessen und bewertet. Während der HV-Benchmark die gesamte Verlässlichkeit betrachtet, fokussiert der HVB-kompakt auf die Informationssicherheit. Um ein einheitliches Mindestsicherheitsniveau innerhalb der Bundesverwaltung erreichen zu können, ist auf der Grundlage des HV-Benchmark kompakt ein Mindeststandard etabliert worden.
Der Mindeststandard hat zum Ziel, Mindestwerte für die im HVB-kompakt betrachteten 34 Aspekte der Informationssicherheit (sogenannte „Indikatoren“) festzulegen. Diese Mindestwerte müssen von den Einrichtungen des Bundes bei der Anwendung des HV-Benchmark kompakt an ihren Rechenzentren mindestens erreicht werden.
Der HV-Benchmark kompakt ist ein fester Bestandteil des Mindeststandards und ist diesem als Anlage 1 beigefügt. Eine Hilfestellung zur Ermittlung individueller Sollwerte ist in der Anlage 2 des Mindeststandards zu finden.

Hinweis zu den Mindestwerten:

Die Einhaltung der vorgegebenen Mindestwerte ist für ein angemessenes IT-Sicherheitsniveau von Rechenzentren der Einrichtungen des Bundes notwendig, aber in der Regel nicht hinreichend. Das bedeutet, es sind Sollwerte für die 34 Indikatoren für jedes Rechenzentrum – unter Berücksichtigung des individuellen Schutzbedarfs – individuell festzulegen. Diese Sollwerte werden in der Regel höher, aber niemals niedriger sein als die vorgegebenen Mindestwerte des Mindeststandards. Um ein hinreichendes Informationssicherheitsniveau zu erlangen, muss darüber hinaus auf der Basis anerkannter Standards eine dem Schutzbedarf genügende Festlegung und Umsetzung aller erforderlichen Sicherheitsmaßnahmen erfolgen. Dass die bloße Einhaltung dieses Mindeststandards noch kein angemessenes Sicherheitsniveau gewährleistet, hat folgenden Grund: Der HVB-kompakt umfasst nur eine Stichprobe der relevanten Aspekte der Informationssicherheit, aber keinesfalls alle. Eine Vollständigkeit ist nur durch Anwendung anerkannter Standards (z. B. IT-Grundschutz, DIN EN 50 600) zu erreichen. Daher kann der HVB-kompakt solche Standards keinesfalls ersetzen.

Aktualisierung November 2023: Der Mindeststandard ist auf die Version 2.0 aktualisiert worden. Dabei sind die Mindestwerte gemäß den Vorgaben des UP Bund 2017 und dem Maßgabebeschluss vom 10.11.2022 (Ausschussdrucksache Nr. 20(8)2851) des Haushaltsausschusses des Deutschen Bundestages auf das Niveau der Standard-Absicherung nach IT-Grundschutz angehoben worden. Zudem ist eine Hilfestellung zur Ermittlung individueller Sollwerte für ein Rechenzentrum oder für eine IT-Dienstleistung auf der Basis des HVB-kompakt als fester Bestandteil aufgenommen (s. Anlage 2 des Mindeststandards). Die vorgenommenen Anpassungen werden in der Änderungsübersicht zum "Mindeststandard des BSI zum HV-Benchmark kompakt" aufgelistet. Der neue Mindeststandard steht Ihnen im Downloadbereich zur Verfügung. Die älteren Versionen des Mindeststandards finden Sie im Archiv.