IT-Sicherheits-Check der Fragenkatalog
Kurzbeschreibung
IT-Sicherheit ist für jedes Unternehmen ein absolutes Muss. Doch welches Sicherheitsniveau ist angemessen, wie lässt es sich erreichen und wie aufrechterhalten?
Diese Check-Liste hilft bei der Erstellung eines Sicherheitskonzepts. Es geht um die Feststellung des Schutzbedarfs, die genaue Risikoanalyse, um die Auswahl der richtigen Maßnahmen und um die Prüfung der Wirtschaftlichkeit. Wichtige Hinweise und Details finden Sie hier.
Unser Test handelt verschiedene Themen ab.
1. Sicherheitsmanagement
Im betrieblichen Umfeld ist das IT-Sicherheitsmanagement in jedem Fall Chefsache. Und dies nicht nur, weil das Thema „Sicherheit“ von entscheidender Bedeutung für den Geschäftserfolg ist, sondern weil dies auch vom Gesetzgeber so vorgegeben ist. Natürlich müssen Geschäftsführung und Firmenleitung sich nicht persönlich um die Details der Umsetzung von Sicherheitskonzepten und Sicherheitsrichtlinien kümmern. Sie müssen aber den Rahmen dafür schaffen, Verantwortung übernehmen und Verantwortliche einsetzen, die für die Umsetzung und Überwachung der Sicherheitsmaßnahmen und – Einrichtungen zuständig und qualifiziert sind.
- Hat die Unternehmensleitung verbindliche IT-Sicherheitsziele festgelegt und die eigene Verantwortung der Geschäftsführung für die IT-Sicherheit ausdrücklich schriftlich fixiert?
- Gibt es einen IT-Sicherheitsbeauftragten?
- Wurde der IT-Sicherheitsbeauftragte angemessen geschult?
- Werden IT-Sicherheitserfordernisse bei neuen Projekten, insbesondere bei der Planung von Netzerweiterungen, Neuanschaffung von Computer- und Kommunikationssystemen und IT-Dienstleistungsverträgen, frühzeitig genug berücksichtigt?
- Gibt es eine Planung für die Umsetzung der Sicherheitsziele und der erforderlichen IT-Sicherheitsmaßnahmen?
- Ist in der Planung berücksichtigt worden, ob die Sicherheitsmaßnahmen einmalig oder regelmäßig durchgeführt werden müssen?
- Gibt es einen Terminplan für die Überprüfung der Sicherheitsmaßnahmen?
- Gibt es eine Liste, in der die Zuständigkeiten und Verantwortlichkeiten für die Umsetzung der IT-Sicherheitsmaßnahmen festgelegt sind?
- Sind die notwendigen Passwörter so hinterlegt, dass notfalls auch andere Mitarbeiter die Sicherheitsmaßnahmen durchführen können?
- Sind die bestehenden Sicherheitsrichtlinien und Zuständigkeiten allen Mitarbeitern bekannt, die mit der Durchführung von Sicherheitsmaßnahmen betraut sind?
- Gibt es Checklisten, in denen genau aufgeführt ist, was in Bezug auf die IT-Sicherheit beim Eintritt neuer Mitarbeiter und beim Ausscheiden von Mitarbeitern zu beachten ist (Kennwörter, Schlüssel, Berechtigungen, Security-Card, …)?
- Wird die Wirksamkeit der IT-Sicherheitsmaßnahmen regelmäßig überprüft?
- Ist das IT-Sicherheitskonzept dokumentiert und steht es allen Mitarbeitern zur Verfügung?
- Gibt es IT-Sicherheitsrichtlinien, die jedem Mitarbeiter ausgehändigt werden?
2. Allgemeine Sicherheitsaspekte und Verhalten in Notfällen
Es gibt eine ganze Reihe allgemeiner Sicherheitsaspekte, die bei jeder Art der Nutzung der vorhandenen Computer- und Kommunikations-Einrichtungen berücksichtigt werden sollten. Da es sich dabei vor allem um die konkrete Umsetzung von Sicherheitsmaßnahmen handelt, sind hier neben der Geschäftsleitung auch alle IT-Verantwortlichen angesprochen. Schutzmechanismen und programminterne Sicherheitseinrichtungen, aber auch konkrete Handlungsanweisungen helfen dabei, Sicherheitsrisiken zu minimieren und Datensicherheit zu gewährleisten.
- Viele Programme und EDV-Anwendungen sind bereits mit bestimmten Schutzmechanismen ausgestattet. Werden diese genutzt?
- Werden Virenschutzprogramme flächendeckend eingesetzt und ständig aktualisiert?
- Sind Firewall-Lösungen vorhanden und werden diese eingesetzt?
- Sind allen Benutzern des Computersystems Benutzernamen, Kennwörter und bestimmte Rechte, bzw. Rollen und Profile zugeteilt worden?
- Gibt es Zugriffsbeschränkungen und ist klar geregelt, auf welche Daten jeder Mitarbeiter zugreifen darf?
- Gibt es auch für Administratoren unterschiedliche Zugriffsrechte und/oder unterschiedliche Rollen und Profile?
- Ist geregelt, welche Rechte und Privilegien Anwendungsprogramme und Benutzer innerhalb des Computersystems haben?
- Werden bei IT-Komponenten die werksseitigen Standardeinstellungen für Benutzernamen und Kennwörter geändert und angepasst?
- Werden sicherheitsrelevante Programme und Funktionen, die nicht benötigt werden, tatsächlich deinstalliert und deaktiviert?
- Wissen alle Benutzer, wie sie Sicherheits- konform handeln und Risiken beim Internetzugriff sowie beim Empfangen und Versenden von E-Mails vermeiden?
- Wissen alle Benutzer wie sie sich verhalten sollten, wenn ein Virenschutzprogramm einen Schadprogrammbefall meldet?
- Gibt es aktuelle schriftliche Handlungsanweisungen für die Sicherheits- konforme Computernutzung?
- Werden ausführliche Installations- und Systemdokumentationen erstellt und regelmäßig aktualisiert?
- Gibt es einen Notfallplan für alle wichtigen Notfallsituationen, der außer detaillierten Verhaltensanweisungen auch Namen und Kontaktangaben von Verantwortlichen und Ansprechpartnern enthält?
- Werden die angegebenen Handlungsanweisungen und Kontaktadressen regelmäßig überprüft und aktualisiert?
- Wissen alle Mitarbeiter, dass es einen Notfallplan gibt und wie dieser zugänglich ist?
3. Sicherheitsbewusstsein
Die Aufrechterhaltung des Sicherheitsniveaus ist ebenso wichtig wie die Einführung angemessener Sicherheitsmaßnahmen. Die besten Sicherheitseinrichtungen und –Maßnahmen nützen aber überhaupt nichts, wenn diese nicht ein- und umgesetzt werden oder wenn Mitarbeiter diese durch bewusstes oder unbewusstes Fehlverhalten aushebeln. Nur wenn Mitarbeiter positiv motiviert sind und einsehen, warum bestimmte Sicherheitsmaßnahmen sie zum Beispiel in der Nutzung des lokalen Netzwerks einschränken oder von ihnen selbst immer wieder aktiv durchgeführt werden müssen, kann ein IT-Sicherheitskonzept auf Dauer erfolgreich umgesetzt werden.
Mitarbeiter werden allerdings nicht durch Kontroll- und Sanktionsmaßnahmen, sondern nur durch Schulung und Aufklärung motiviert. Gute Erfolge werden darüber hinaus mit IT-Sicherheitsleitfäden und –Richtlinien erzielt, die jedem Mitarbeiter ausgehändigt werden.
- Werden die Mitarbeiter regelmäßig in sicherheitsrelevanten Themen geschult?
- Werden vertrauliche Informationen und Datenträger mit vertraulichen Informationen sorgfältig aufbewahrt und zusätzlich geschützt?
- Erhalten alle Mitarbeiter einen Sicherheitsleitfaden, in dem sämtliche sicherheitsrelevanten Themen und ein Verhaltenskodex enthalten sind?
- Werden vertrauliche Informationen vor Wartungs- und Reparaturarbeiten von Datenträgern und IT-Systemen, die Mitarbeitern von Fremdfirmen zugänglich sein könnten, entfernt oder gelöscht?
- Gibt es regelmäßig Maßnahmen und Fortbildungen, die das Sicherheitsbewusstsein der Mitarbeiter erhöhen sollen?
- Werden die bestehenden Sicherheitsvorgaben kontrolliert und Verstöße dagegen geahndet?
4. Zugriffsschutz: Benutzernamen, Kennwörter und Verschlüsselung
Der Zugriffsschutz und die damit verbundene Zugriffskontrolle sind ebenfalls von entscheidender Bedeutung. Benutzernamen, Passwörter, Kennwörter und Verschlüsselungsverfahren sorgen dafür, dass bestimmte elektronische Informationen nur von befugten Mitarbeitern eingesehen und tatsächlich vertraulich verwendet werden können. Auch bei kleineren Unternehmen ist es sinnvoll, Vergaberichtlinien für die diversen Pass- und Kennwörter festzulegen. Damit bestimmte IT-Komponenten und Daten auch dann noch zur Verfügung stehen, wenn bestimmte Mitarbeiter ausfallen oder für längere Zeit nicht erreichbar sind, sollten alle gültigen Kenn- und Passwörter außerdem hinterlegt und sicher verwahrt werden.
- Werden die Sicherheitsmechanismen der eingesetzten Programme genutzt und sind Sicherheitsmechanismen wie Passwortschutz oder Verschlüsselung vorhanden und aktiviert?
- Ist sichergestellt, dass voreingestellte oder leere Pass- und Kennwörter geändert wurden?
- Gibt es Vergaberichtlinien für Benutzernamen und Pass- und Kennwörter?
- Werden Benutzernamen und Pass- und Kennwörter zentral dokumentiert?
- Sofern Mitarbeiter selbst Pass- und Kennwörter vergeben: Sind alle Mitarbeiter in der Vergabe sicherer Kennwörter geschult und werden auch die vergebenen Kennwörter zentral dokumentiert?
- Werden Arbeitsplatzrechner mit Bildschirmschoner und dazugehörigem Kennwort gesichert und vor neugierigen Blicken geschützt?
- Werden vertrauliche Daten und besonders gefährdete Systeme, wie z. B. Notebooks und andere mobile Informationssysteme, durch Verschlüsselung geschützt?
- Ist gewährleistet, dass vertrauliche Daten per E-Mail verschlüsselt übertragen werden?
- Werden Computer, auf denen sich sicherheitsrelevante Daten befinden, durch zusätzliche Sicherheitsmaßnahmen, wie z. B. durch Security-Cards oder externe Authentifizierung, geschützt?
- Erfolgt der externe Zugriff auf das lokale Firmennetz über getunnelt und durch Verschlüsselung gesicherte VPN-Verbindungen?
5. Internet und E-Mail
Internetanbindung und E-Mail-Kommunikation sind aus dem betrieblichen Alltag nicht mehr wegzudenken, stellen aber gleichzeitig eine große Sicherheitsbedrohung dar. Jeder Mitarbeiter, der im Internet surft oder E-Mail versendet und empfängt, macht das gesamte Computersystem, mit dem der Arbeitsplatzrechner verbunden ist, zum potenziellen Ziel von Viren und anderen Schadprogrammen und öffnet es für potenzielle Eindringlinge. Jede Internetverbindung muss daher mit allen zur Verfügung stehenden Mitteln geschützt werden.
- Gibt es eine Firewall?
- Wird die Konfiguration der Firewall regelmäßig kontrolliert und aktualisiert?
- Ist festgelegt, welche Daten über das Internet angeboten oder verschickt werden dürfen?
- Ist festgelegt, wie mit sicherheitsgefährdeten Zusatzprogrammen (Plugins) und aktiven Inhalten (z. B. ActiveX) umgegangen wird?
- Sind alle unnötigen Dienste und Programmfunktionen deaktiviert?
- Wurden Web-Browser und E-Mailprogramme sicher konfiguriert?
- Sind Mitarbeiter ausreichend für die Internetnutzung und den E-Mail-Einsatz geschult?
- Gibt es verbindliche Richtlinien für die Nutzung des Internets?
- Ist eine E-Mail-Sicherheitsrichtlinie vorhanden?
- Gibt es Vorkehrungen gegen Spam-Mails (z. B. Filter)?
- Wissen alle Mitarbeiter, wie sie mit den Spam-Mails, die trotz der Spam-Filter in den Posteingang gelangen, umgehen sollen?
- Sind alle Mitarbeiter über Phishing-Attacken informiert und wissen sie, wie sie sich in Bezug auf Phishing-Emails zu verhalten haben?
- Gibt es eine Regelung für privates Surfen und private E-Mail-Korrespondenz?
6. Datensicherung
Da auch die besten Sicherheitsmaßnahmen Naturkatastrophen, Brandschäden oder gezielten Vandalismus nicht ausschließen können, ist die regelmäßige Datensicherung immer noch eine unverzichtbare Risikovorsorge. Dazu gehört aber auch, dass Vorkehrungen dafür geschaffen werden, dass die gesicherten Daten außer Haus gelagert werden. Auch die sorgfältigste Datensicherung nützt überhaupt nichts, wenn das Firmengebäude abbrennt. Zu einer umfassenden Datensicherung gehört auch die externe Datenlagerung.
- Gibt es einen Plan für die zentrale Datensicherung?
- Gibt es feste Verantwortlichkeiten für die Durchführung der zentralen Datensicherung?
- Ist festgelegt, welche Daten wie lange gesichert werden?
- Ist berücksichtigt, dass die Daten in mehreren Sicherungssätzen gesichert werden und ältere Sicherungen mit neueren Sicherungen überschrieben werden?
- Werden die Sicherungssätze an unterschiedlichen Orten innerhalb und außerhalb des Unternehmens verteilt aufbewahrt?
- Erfolgt die externe Sicherung der Daten über eine sichere Internetverbindung?
- Ist eine schnelle Rücksicherung der Daten möglich?
- Werden die Sicherungsdatenträger regelmäßig kontrolliert?
- Sind die Sicherungs- und Rücksicherungsverfahren dokumentiert?
- Sind die Mitarbeiter verpflichtet, regelmäßig Sicherungen ihrer eigenen Dokumente vorzunehmen und sind sie mit der Wiederherstellung der Daten vertraut?
7. Drahtlose Netzwerkverbindung (WLAN) und Hotspots
Drahtlose Verbindungen werden auch im betrieblichen Umfeld immer populärer. Die meisten neuen Notebooks sind bereits mit WLAN-Adaptern ausgerüstet und auch Desktop-PCs lassen sich mit einer WLAN-Einsteckkarte schnell und einfach so mobil machen, dass sie innerhalb des Firmengebäudes an beliebigen Plätzen aufgestellt werden können. Doch der Komfort hat seinen Preis: Drahtlose Verbindungen können sehr leicht abgehört werden und öffnen das System für potenzielle Eindringlinge. WLAN-Verbindungen aller Art – insbesondere auch Verbindungen zu öffentlichen Hotspots wie z. B. in Hotels, öffentlichen Gebäuden und Flughäfen zu finden sind – müssen besonders sorgfältig geschützt werden. Dabei ist immer zu bedenken, dass die Angriffe aus sicherer Entfernung stattfinden, da die Funkwellen weder an Zimmer- noch an Grundstücksgrenzen Halt machen.
- Ist die Außenreichweite der WLAN-Access-Points bekannt?
- Wurden bei WLAN-Access-Points und WLAN-Routern die werksseitig eingestellten Kennwörter geändert?
- Sind die WLAN-Verbindungen mit einem speziellen Netzwerkkennwort (SSID) gesichert?
- Ist auf den WLAN-Komponenten die WLAN-Verschlüsselung aktiviert?
- Sind auf den WLAN-Access-Points und –Routern die MAC-Adressen der zugelassenen WLAN-Adapter eingetragen?
- Sind zusätzliche Authentifizierungsmechanismen aktiviert?
8. Software-Nutzung und Software-Update
Der Umgang mit Software und vor allem mit Software-Updates ist auch ein äußerst wichtiges Sicherheitsthema. Ständige softwaretechnische Neuerungen und die Entdeckung immer neuer Sicherheitslücken machen es erforderlich, dass Anwendungsprogramme und Betriebssysteme immer wieder auf den neuesten Stand – und damit auch auf die neuesten Sicherheitsstandards – gebracht werden. Solange die Updates von zentral Verantwortlichen durchgeführt werden, klappt dies meistens gut. Anderes ist es, wenn die Durchführung der Updates in den Händen der einzelnen Mitarbeiter liegt. Da diese die ständigen Update-Aufforderungen sehr schnell leid sind, werden Updates häufig nur noch sporadisch durchgeführt. Wie fatal dies sein kann, zeigt sich daran, dass fast alle Schäden, die durch aktuelle Würmer und Vieren verursacht wurden, komplett hätten vermieden werden können, wenn nur die bereits vorliegenden Windows-Updates durchgeführt worden wären. Software, die unkontrolliert aus dem Internet heruntergeladen oder von zu Hause mitgebracht und auf betrieblichen PCs eingesetzt wird, stellt ebenfalls ein erhebliches Risiko dar, das es durch verbindliche Vereinbarungen einzudämmen gilt.
- Gibt es einen Verantwortlichen für Sicherheits-Updates?
- Werden Sicherheits-Updates regelmäßig eingespielt?
- Werden Windows-Updates zentral vorgenommen?
- Wurden die neuen Sicherheitseinrichtungen von Windows Vista in vollem Umfang genutzt?
- Sind die Mitarbeiter verpflichtet, Sicherheits- und Windows-Updates selbst durchzuführen?
- Wird die Durchführung der Software-Updates regelmäßig überprüft?
- Werden Updates der Anwendungsprogramme getestet, bevor sie für die allgemeine Verwendung freigegeben werden?
- Wurden alle Benutzer darauf hingewiesen, dass Programme aus dem Internet nur nach ausdrücklicher Genehmigung eines Systemverwalters heruntergeladen und installiert werden dürfen?
- Ist es den Mitarbeitern ausdrücklich untersagt worden, eigene Programme auf den Firmen-PCs zu installieren?
9. Schutzvorkehrungen und Schutzeinrichtungen
Beim Thema „Schutzvorkehrungen und Schutzeinrichtungen“ geht es um die Infrastruktur und um Schutzmaßnahmen, die nur indirekt mit dem Computersystem und anderen IT-Einrichtungen zu tun haben. Dabei spielen auch Zugangskontrollen eine wichtige Rolle. Die Sicherheitsmaßnahmen, die gegen unbefugte Zugriffe auf das Computersystem über das Internet getroffen wurden, können ja höchst wirksam sein. Wenn aber jemand völlig unbemerkt und unbehelligt in ein Büro spazieren und einen kompletten Rechner entwenden kann, auf dem sich sicherheitsrelevante Daten befinden, nützt auch die beste Firewall nichts.
- Sind die Server des Computersystems ausreichend gegen Feuer, Überhitzung und Wasserschäden geschützt?
- Sind die Server und wichtige Arbeitsplatzrechner gegen Überspannung und Stromausfall geschützt?
- Ist der Zutritt zu wichtigen Teilen des Computersystems und den Serverräumen geregelt?
- Gibt es eine Eingangskontrolle?
- Müssen Besucher, Handwerker und andere externe Dienstleister beaufsichtigt werden?
- Gibt es Überwachungskameras?
- Ist das Firmen-Gelände gegen unbefugtes Betreten gesichert?
- Besteht ein ausreichender Schutz vor Einbrechern?
- Werden Firmen-Gelände und Firmengebäude nachts von einem Wachdienst kontrolliert?
- Ist der Bestand von Hard- und Software in einer Inventarliste erfasst und werden regelmäßige Bestandskontrollen durchgeführt?
- Sind wichtige Geräte durch zusätzliche Maßnahmen (z. B. Magnetstreifen) geschützt, die einen Sicherheitsalarm auslösen, wenn diese unbefugt entfernt werden?