Zum Hauptinhalt springen

Sicherheit und Compliance

Erstellt am: 12. März 2026 | Zuletzt geändert: 12. März 2026 | Autor: Matthias, Enrico (GitLab)

Ziel des Dokuments: Dieses Dokument stellt die verbindlichen IT-Sicherheitsstandards und Compliance-Anforderungen für alle Systeme dar, die im Rahmen des D-Stacks und der Deutschen Verwaltungscloud (DVC) betrieben werden. Es ergänzt die Datenschutzvorgaben um den technischen Sicherheitsrahmen und verweist auf das ganzheitliche Zero-Trust-Architekturmodell.

verified_user Geltende Compliance-Standardsfeedback

Für alle Systeme der öffentlichen Verwaltung im D-Stack Kontext gelten drei zentrale Rahmenwerke als bindend.

ISO 27001 ist der international anerkannte Standard für Informationssicherheits-Managementsysteme (ISMS). Er definiert einen risikobasierten Ansatz zur systematischen Behandlung von Informationssicherheitsrisiken und bildet die Basis für eine belastbare Zertifizierung cloudbasierter Behördeninfrastrukturen. Lieferanten und Cloud-Dienstleister, welche die DVC bedienen, müssen eine ISO 27001 Zertifizierung oder eine gleichwertige Nachweisführung vorweisen.

BSI IT-Grundschutz ist die nationale, verbindliche Umsetzungsnorm des Bundesamts für Sicherheit in der Informationstechnik für deutsche Behörden. Das Kompendium definiert Basissicherheitsanforderungen (Basis-Absicherung), Standard-Absicherung und Kern-Absicherung für eine Vielzahl von IT-Systemen, Netzwerken und Prozessen. Die Einhaltung des IT-Grundschutzes ist für alle Bundesbehörden gesetzlich verpflichtend und wird als Minimalanforderung für alle D-Stack Komponenten definiert. Die Fortentwicklung IT-Grundschutz++ definiert die Anforderungsprofile für Zero-Trust-Architekturen und ermöglicht erstmals maschinenlesbare, automatisierbare Sicherheitsregeln. Weiterführende Informationen finden sich in der Best-Practices-Referenz.

Sicherheitsaudits sind als regelmäßige, unabhängige Überprüfungen des Sicherheitsstatus aller produktiven Systeme durchzuführen. Neben regelmäßigen internen Audits sind externe Penetrationstests (Pentests) für kritische Systeme (insbesondere Systeme mit Außenanbindung oder Verarbeitung sensibler Personendaten) obligatorisch und in definierten Intervallen einzuplanen. Ergebnisse und Maßnahmenpläne sind revisionssicher zu dokumentieren.

verified_user Verbindliche Mindestmaßnahmenfeedback

Unabhängig vom jeweiligen Schutzbedarf gelten für alle Systeme im D-Stack-Umfeld verbindliche Sicherheitsmindestanforderungen:

  • Datenverschlüsselung: Vollständige Verschlüsselung aller Daten in Transit und im Ruhezustand.
  • Access Control: Ein rollenbasiertes Zugriffsmodell (RBAC) nach dem "Least Privilege"-Prinzip.
  • Software Supply Chain: Der Einsatz von ausschließlich gehärteten Images mit einer lückenlos dokumentierten und zertifizierten SBOM (Software Bill of Materials) Lieferkette. Dies stellt sicher, dass alle Software-Artefakte und deren Abhängigkeiten transparent, überprüfbar und frei von bekannten Schwachstellen sind.
  • Shift-Left Security: Automatisierte Schwachstellenscans in der CI/CD-Pipeline.
  • Incident Response: Ein vollständig implementiertes und regelmäßig getestetes Incident-Response-Verfahren.

subdirectory_arrow_right Vertiefende Unterseitenfeedback

Die folgenden Unterseiten vertiefen die zentralen Sicherheitsrahmenwerke, die für den D-Stack gelten:

UnterseiteInhalt
Zero-Trust-Eckpunkte BundBSI-Positionspapier Zero Trust (2023): Grundprinzipien, 7 Säulen, Umsetzungshinweise und Komplementarität zu bestehenden Vorgaben. Definiert das „Was" der Zero-Trust-Strategie des Bundes.
IT-Grundschutz und IT-Grundschutz++BSI-Standards 200-1 bis 200-4, Kompendium, Mindeststandards sowie die Fortentwicklung IT-Grundschutz++. Definiert die Anforderungsprofile für Zero-Trust-Architekturen durch maschinenlesbare Regeln und dynamische Leistungszahlen.

Die technische Umsetzung dieser Vorgaben ist in der Zero-Trust-Referenzarchitektur dokumentiert.