Logo jurisLogo Bundesregierung

Allgemeine Verwaltungsvorschrift über das Meldeverfahren gemäß § 4 Abs. 6 BSIG

Zurück zur Teilliste Bundesministerium des Innern

Allgemeine Verwaltungsvorschrift über das Meldeverfahren gemäß § 4 Abs. 6 BSIG





Nach § 4 Abs. 6 BSIG wird mit Zustimmung des Rats der IT-Beauftragten durch Beschluss Nr. 35/2009 vom 01. Dezember 2009 zur Durchführung des § 4 Abs. 3 BSIG folgende Allgemeine Verwaltungsvorschrift erlassen:





§ 1 - Zweck der Verwaltungsvorschrift



Absatz 1:

Das BSI ist gemäß § 4 Abs. 1 BSIG zentrale Meldestelle für die Zusammenarbeit der Bundesbehörden in Angelegenheiten der Sicherheit in der Informationstechnik i.S.d. § 2 Abs. 2 BSIG. Zur Wahrnehmung dieser Aufgabe hat das BSI gemäß § 4 Abs. 2 BSIG für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik erforderliche Informationen zu sammeln und auszuwerten sowie die Pflicht, die Bundesbehörden unverzüglich über sie betreffende Informationen zu unterrichten und so beispielsweise vor neuen Sicherheitslücken zu warnen.



Absatz 2:

Umgekehrt besteht nach § 4 Abs. 3 BSIG eine Pflicht der Bundesbehörden, das BSI unverzüglich zu unterrichten, wenn dort für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik erforderliche Informationen bekannt werden. Die Einzelheiten dieses Meldeverfahrens, insbesondere hinsichtlich der Frage, welche Informationen für die Arbeit des BSI bzw. den Schutz der Informationstechnik des Bundes relevant sind, werden in dieser Verwaltungsvorschrift festgelegt.





§ 2 - Meldepflichtige Informationen



Absatz 1:

Meldepflichtig sind alle für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik erforderlichen Informationen (insbesondere zu Sicherheitslücken, Schadprogrammen, erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und der dabei beobachteten Vorgehensweise), wozu auch IT-Sicherheitsvorfälle gehören. Nicht erforderlich sind bereits öffentlich zugängliche Informationen wie beispielsweise Informationen von Herstellern über Sicherheitslücken und Sicherheitspatches. Erforderlich sind insbesondere solche Informationen, die der Frühwarnung anderer Behörden, als Grundlage zur Ermittlung von Angriffsmustern, der Erstellung anonymisierter statistischer Übersichten zur Prüfung der Eignung bestehender Sicherheitsmaßnahmen, der Ableitung erweiterter Sicherheitsmaßnahmen oder der Bewertung der Sicherheit von informationstechnischen Produkten und Diensten dienen. Damit sind zum einen Informationen gemeint, die eine unmittelbare Reaktion, insbesondere die Warnung anderer Behörden, erfordern und daher so schnell wie möglich im BSI vorliegen müssen. Zum anderen geht es um Informationen, die eine solche unmittelbare Reaktion nicht erfordern, aber insbesondere für eine konsolidierte und anonymisierte Langzeitanalyse der IT-Sicherheitslage notwendig sind.



Absatz 2:

Die der Meldepflicht unterfallenden Informationen werden auf Basis des Gefährdungskatalogs des IT-Grundschutzhandbuchs des BSI und der ISO 27005 kategorisiert. Eine Meldepflicht besteht hinsichtlich der in Anlage 1 verzeichneten Kategorien.

Zur weiteren Konkretisierung der meldepflichtigen Informationen sind die 20 aktuell wichtigsten Gefährdungen für die IT-Sicherheit in der Anlage 1 zu dieser Verwaltungsvorschrift den jeweiligen Kategorien zugeordnet. Das Verfahren zur Anpassung dieser aktuell wichtigsten Gefährdungen an eine sich verändernde Gefährdungslage ist in § 6 dieser Verwaltungsvorschrift geregelt.



Absatz 3:

Von der Meldepflicht sind nach § 4 Abs. 4 BSIG Informationen ausgenommen, die aufgrund von Regelungen zur Übermittlung und Weitergabe von Informationen durch die Nachrichtendienste des Bundes oder zum Geheimschutz oder Vereinbarungen mit Dritten nicht weitergegeben werden dürfen oder deren Weitergabe im Widerspruch zu der verfassungsrechtlichen Stellung eines Abgeordneten des Bundestages oder eines Verfassungsorgans oder der gesetzlich geregelten Unabhängigkeit einzelner Stellen stünde. Sofern möglich, werden diese Informationen von meldepflichtigen Informationen getrennt, damit eine Meldung an das BSI möglich wird. Die Anzahl von Fällen, in denen meldepflichtige Stellen

von dieser Ausnahmeregelung Gebrauch gemacht haben, sind dem BSI halbjährlich jeweils zum 30. März und 30. September. bekannt zu geben.

Ausgenommen von der Pflicht nach Abs. 3 Satz 3 ist der BND



Absatz 4:

Die auf Grundlage des § 4 BSIG zu meldenden Informationen sind üblicherweise rein technischer Natur und haben keinen Personenbezug. Sofern zu meldende Informationen ausnahmsweise personenbezogene Daten beinhalten, sind diese zu anonymisieren, soweit dies nach dem Verwendungszweck möglich ist. Ist eine Anonymisierung danach nicht möglich, richtet sich die Übermittlungsbefugnis der meldepflichtigen Stelle nach den allgemeinen datenschutzrechtlichen oder gegebenenfalls spezialgesetzlichen Regelungen.





§ 3 - Meldepflichtige Stellen



Absatz 1:

Meldepflichtig sind alle Bundesbehörden. Stellen, denen Kraft Verfassung oder Gesetz eine besondere Unabhängigkeit zukommt, wie den Bundesgerichten (soweit sie nicht öffentlich-rechtliche Verwaltungsaufgaben wahrnehmen), dem Bundesrechnungshof, dem Bundesbeauftragten für Datenschutz und Informationsfreiheit oder den Verfassungsorganen Bundestag, Bundesrat und dem Bundespräsidenten sind von der Meldepflicht ausgenommen, wenn eine Übermittlung im Widerspruch zu dieser Unabhängigkeit stehen würde. Nicht meldepflichtige Stellen des Bundes können sich freiwillig an dem Verfahren beteiligen und an das BSI melden.



Absatz 2:

Die Meldung erfolgt durch den IT-Sicherheitsbeauftragten der jeweiligen Bundesbehörde. In Ausnahmefällen (z.B. Eilbedürftigkeit) kann sie auch durch jede andere Stelle der Behörde erfolgen. Das BSI und die meldende Stelle stellen in Absprache miteinander sicher, dass in solchen Ausnahmefällen eine unverzügliche Einbindung des IT-Sicherheitsbeauftragten der meldenden Behörde erfolgt. Soweit eine unverzügliche Meldung sichergestellt wird, kann die Meldung auch über eine zentrale Stelle eines Ressorts erfolgen.



Absatz 3:

Sofern sich eine Bundesbehörde zum Betrieb ihrer Informationstechnik Dritter bedient, ist durch die Bundesbehörde sicherzustellen, dass die Wahrnehmung der Meldepflicht entsprechend dieser Verwaltungsvorschrift gewährleistet bleibt. Dies schließt eine Übertragung der Meldepflicht auf den

Dritten nicht aus, solange eine Doppelmeldung ausgeschlossen wird und die betroffene Behörde erkennbar bleibt.





§ 4 - Meldeverfahren



Absatz 1:

Die Meldungen sind an das BSI als zentrale Meldestelle zu richten. Die Meldungen erfolgen standardisiert als SOFORT-Meldung oder als STATISTISCHE Gesamtmeldung entsprechend Anlage 2 und unter Verwendung des in Anlage 2 enthaltenen Formulars. Enthalten sind in Anlage 2 Einzelheiten des Meldeverfahrens, u.a. konkrete Kontaktdaten (Adressen, Telefonnummern), technische Umsetzung (z.B. Möglichkeiten verschlüsselter Kommunikation) sowie Erläuterungen durch konkretisierende Beispiele.



Absatz 2:

Die Meldung an das BSI erfolgt unverzüglich nach Kenntnis, es sei denn eine unmittelbare Gefahr für die Sicherheit der Informationstechnik des Bundes kann ausgeschlossen werden. Wenn eine solche unmittelbare Gefahr ausgeschlossen werden kann, erfolgt monatlich eine gesammelte Meldung über die relevanten Informationen. In Sonderfällen ist die Abstimmung längerer Zeiträume (bis hin zu einer quartalsweisen Meldung) mit dem BSI möglich. Fehlanzeige ist erforderlich, in Abstimmung mit dem BSI kann davon abgesehen werden.





§ 5 - Berichtspflicht des BSI



Absatz 1:

Das BSI bestätigt den Eingang der Meldungen nach § 4 Abs. 2 der Verwaltungsvorschrift unverzüglich gegenüber dem Absender. Die eingehenden Informationen werden vom BSI unverzüglich ausgewertet. Soweit notwendig werden die Bundesbehörden im Wege der Frühwarnung unverzüglich über alle für die Abwehr von Gefahren für die Sicherheit in der Informationstechnik relevanten Informationen unterrichtet. Daneben erfolgt eine Unterrichtung der Bundesbehörden durch regelmäßige Lagebilder.

Der Geschäftsbereich des BMVg meldet quartalsbezogen.



Absatz 2:

Das BSI legt dem Rat der IT-Beauftragten der Bundesregierung kalenderjährlich jeweils bis zum 31.03. des dem Berichtsjahr folgenden Jahres eine Auswertung der eingegangenen Meldungen vor. Der Bericht erfolgt in anonymisierter Form, so dass ein Rückschluss auf die meldende Behörde anhand der Angaben nicht möglich ist.



Absatz 3:

Der Bericht gemäß Absatz 2 enthält auch eine Empfehlung, ob auf Basis der mit der Umsetzung dieser Verwaltungsvorschrift gesammelten Erfahrungen eine Anpassung der Verwaltungsvorschrift notwendig ist.



Absatz 4:

Das BSI erteilt auf schriftliche Nachfrage den Bundesbehörden Auskunft von den über die Bundesbehörde gespeicherten Daten.





§ 6 - Verfahren zur Änderung der Anlagen



Absatz 1:

Auf Grund der Erfahrungen mit der Umsetzung dieser Verwaltungsvorschrift und der sich stetig wandelnden Gefährdungen für die IT-Sicherheit kann eine Anpassung der den Kategorien zugeordneten Ereignisse in der Anlage 1 und/oder eine Anpassung des in Anlage 2 beschriebenen Meldeverfahrens notwendig werden. Das BSI kann im Rahmen der Regelungen dieser Verwaltungsvorschrift solche Anpassungen in den Anlagen vornehmen.



Absatz. 2:

Geplante Änderungen der Anlagen werden durch das BSI den Mitgliedern des Rats der IT-Beauftragten angekündigt. Diese Änderungen treten in Kraft, wenn kein Mitglied des Rats der IT-Beauftragten binnen 4 Wochen nach der Information gegenüber der Geschäftsstelle des Rats der IT-Beauftragten widerspricht. Der Rat der IT-Beauftragten wird nach Ablauf der 4 Wochen darüber informiert, ob ein Widerspruch eingegangen ist. Im Falle eines Widerspruchs bedarf die Änderung der Anlagen der Zustimmung des Rats der IT-Beauftragten.



Absatz. 3:

Das BSI informiert alle meldepflichtigen Behörden und am Meldeverfahren teilnehmenden nicht meldepflichtigen Stellen über die Änderungen.





§ 7 – Inkrafttreten



Diese Verwaltungsvorschrift tritt am Tag nach ihrer Veröffentlichung in Kraft.





Anlage 1: Meldungskategorien

Anlage 2: Meldeprozess





Berlin, den 8. Dezember 2009

IT 5 606 000 – 1/1#1



Bundesministerium des Innern



Im Auftrag
Dr. Grosse


Anlagen (nichtamtliches Verzeichnis)

Anlage 1: Meldungskategorien

Anlage 2: Meldungsprozess