Mit Schreiben vom 29. Juni 2023 hat das Bundesministerium der Finanzen (BMF) darüber informiert, dass einige der Technischen Richtlinien, für die das Bundesamt für Sicherheit in der Informationstechnik (BSI) zuständig ist, überarbeitet und veröffentlicht wurden.
Damit sind die alten BMF-Schreiben vom 28. Februar 2019 (BStBl I S. 206), vom 16. Dezember 2019 (BStBl 2020 I S. 58), vom 24. Februar 2022 (BStBl I S. 179) und vom 24. März 2023 (BStBl I S. 607) vollständig aufgehoben.
Hintergrund
Das übergeordnete Ziel der Technischen Richtlinien des BSI (BSI TR) ist die Schaffung angemessener Standards zur IT-Sicherheit. Somit richten sich die Technischen Richtlinien prinzipiell an alle, die mit dem Aufbau und/oder der Absicherung von IT-Systemen zu tun haben. Konkret sind die Technischen Richtlinien des BSI als empfehlungshafte Ergänzung der entsprechenden technischen Prüfvorschriften zu verstehen, als die sie Kriterien und Methoden für eine erfolgreiche Umsetzung der komplexen Anforderungen an die IT-Sicherheit mitsamt allen ihren Komponenten liefern.
Was ist neu?
Folgende Richtlinien wurden überarbeitet:
- BSI TR-03153 – Technische Sicherheitseinrichtung für elektronische Aufzeichnungssysteme
Teil 1: Anforderungen an die Technische Sicherheitseinrichtung; Version 1.1.0
Teil 2: Regelung zur übergangsweisen Aufrechterhaltung der gesetzlich erforderlichen Zertifizierung von Technischen Sicherheitseinrichtungen in begründeten Ausnahmefällen; Version 1.0.0
- BSI TR-03151 – Secure Element API (SE API)
Part 1: Interface Definition; Version 1.1.0
Part 2: Interface Mapping; Version 1.1.0
- BSI TR-03145 – Secure Certification Authority Operation
Teil 5: Spezifische Anforderungen für eine Public Key Infrastruktur für Technische Sicherheitseinrichtungen; Version 1.0.1
- BSI TR-03116 – Kryptographische Vorgaben für Projekte der Bundesregierung
Teil 5: Anwendungen der Secure Element API; Stand 2023
Detailliert können die Technischen Richtlinien auf der Internetseite des BSI eingesehen werden.
Fazit
Die MaRisk fordern gemäß AT 7.2, bei der Ausgestaltung der IT-Systeme und ihrer Prozesse auf gängige Standards abzustellen. Die Technischen Richtlinien des BSI sind als hilfreiche Ergänzung solcher Standards zu verstehen und haben Empfehlungscharakter. Es wäre daher sinnvoll und vorausschauend, die überarbeiteten Richtlinien auf Relevanz und etwaigen Anpassungsbedarf hin zu überprüfen.
Für viele der Technischen Richtlinien besteht auch die Möglichkeit, sich die Konformität eines Produkts oder Systems zu einer Technischen Richtlinie durch das BSI – in Form einer Zertifizierung – nachweisen zu lassen. Eine Auflistung der Prüfbereiche, in denen solche Zertifizierungen angeboten werden, ist hier zu finden. Von den vier vorgenannten Technischen Richtlinien gehören BSI TR-03153 und BSI TR-03145 dazu.
