RiLi-Informationssicherheit KKU: Unterschied zwischen den Versionen

Mustervorlage: "Richtlinie zur Informationssicherheit für KKU"

Die DIN SPEC 27076 regelt die Beratung zur IT- und Informationssicherheit für Klein- und Kleinstunternehmen und stellt somit keine Grundlage für eine Sicherheitsrichtlinie oder gar ein ISMS dar. Sie definiert jedoch Anforderungen, die im Rahmen der Beratung nach DIN SPEC 27076 in einem definierten Prozess vom Berater abgefragt werden sollen.

Ein expliziter Nachweis einer Sicherheitsrichtlinie oder gar eine Zertifizierung auf dieser Basis ist hier nicht vorgesehen. Dennoch kann es für die betroffenen Kleinst- und Kleinunternehmen sinnvoll sein, die Ergebnisse der Beratung in eine unternehmenseigene Informationssicherheitsrichtlinie einfließen zu lassen, so dass das Unternehmen zumindest über eine rudimentäre schriftliche Informationssicherheitsrichtlinie verfügt, in der die umgesetzten oder angestrebten Maßnahmen zur Informationssicherheit dokumentiert sind. Diese Sicherheitsrichtlinie kann auch zur Vorbereitung einer Beratung oder unabhängig davon als mit vertretbarem Aufwand einfach umsetzbares internes Regelwerk und Einstieg in ein Sicherheitsmanagement des Unternehmens dienen.

Aufgrund der geringen Bearbeitungstiefe und zur leichteren Pflege der Dokumentation werden in dieser Richtlinie alle wesentlichen Belange in einem Dokument behandelt.

Wie in allen Mustervorlagen des ISMS-Ratgeber Wiki gilt:

Text in kursiver Schrift ist Erläuterungstext und muss gelöscht oder durch eigenen Text ersetzt werden. Text in <spitzen Klammern> ist ein Platzhalter und muss mit eigenen Bezeichnungen oder Daten ersetzt werden. Nicht kursiver Text ist ein Formulierungs- oder Regelungsvorschlag, der direkt übernommen werden kann oder an die Gegebenheiten der eigenen Organisation angepasst werden muss. Bezeichnungen wie "Organisation", "Organisationsleitung" usw. sind durch die entsprechenden Firmen, Behörden oder sonstigen Geschäftsbezeichnungen der eigenen Organisation zu ersetzen.

Inhaltlich sind alle Formulierungsvorschläge auf ihre Umsetzbarkeit in der Organisation zu prüfen und durch organisationsspezifische Regelungen zur konkreten Umsetzung zu ergänzen.

Informationssicherheits-Richtlinie

Informationssicherheits-Richtlinie der <Organisation> auf Basis von DIN SPEC 27076 "Beratung zur IT- und Informationssicherheit für Klein- und Kleinstunternehmen“

Unternehmen

Name des Unternehmens: <Organisationsname>

Sitz des Unternehmens: <Straße, Postleitzahl, Stadt, Bundesland, Land>

Rechtsform des Unternehmens: <Rechtsform>

Handelsregister-Nummer: <(falls vorhanden)>

Name des/der verantwortlichen Geschäftsführenden: <Name (Titel)>

Anzahl der Beschäftigten im Unternehmen: <Anzahl insgesamt>

Tätigkeit des Unternehmens

Beschreibe in 2-3 Sätzen in welcher Branche dein Unternehmen tätig ist und was es produziert bzw. welche Dienstleistung es erbringt.

Einleitung

IT-Sicherheit ist ein komplexes Thema und erfordert Erfahrung und spezifische Fachkenntnisse. Insbesondere kleine und Kleinstunternehmen wie die <Organisation> stehen hier vor besonderen Herausforderungen. Die <Organisation> nutzt als Grundlage für die Erstellung dieser Sicherheits-Richtlinie den Standard DIN SPEC 27076, hier insbesondere den Anforderungskatalog in Anhang A.

Geltungsbereich

Diese Sicherheits-Richtlinie gilt für den gesamten Geschäftsbereich der <Organisation> und ist für alle Mitarbeitenden der <Organisation> verbindlich.

Zielsetzung

Definition der Ziele der Organisation mit kurzer Beschreibung der Inhalte wie z.B.: (Inhalte bei Bedarf anpassen)

Ziel dieses Sicherheits-Richtlinies der <Organisation> ist es:

• Bewusstsein für Informationssicherheit fördernDas Sicherheitsbewusstsein aller Mitarbeitenden und Stakeholder soll gefördert werden, um Risiken für die <Organisation> zu minimieren und schnell und gezielt auf Sicherheitsvorfälle reagieren zu können.
• Einhaltung von Gesetzen oder VorschriftenDie <Organisation> muss alle relevanten gesetzlichen Bestimmungen und Vorschriften im Zusammenhang mit Datenschutz und Informationssicherheit einhalten. Dies kann Datenschutzgesetze, branchenspezifische Regelungen oder internationale Normen umfassen.
• Einhaltung von Verträgen und LieferzusagenDie <Organisation> muss ihre vertraglichen Verpflichtungen und Zusagen gegenüber Kunden und Geschäftspartnern pünktlich und zuverlässig erfüllen können.
• Wahrung von Persönlichkeitsrechten von Mitarbeitenden, Geschäftspartnern und KundenHierbei geht es darum, die Privatsphäre und persönlichen Daten von Mitarbeitenden, Geschäftspartnern und Kunden zu schützen und sicherzustellen, dass diese Rechte respektiert werden.
• Funktionale Sicherstellung der Aufgabenerledigung zur Erfüllung der GeschäftsprozesseEs muss sichergestellt sein, dass alle notwendigen Aufgaben und Prozesse in der <Organisation> korrekt, reibungslos und ohne Störungen ablaufen können.
• Schutz der Verfügbarkeit von IT-Systemen, Diensten und InformationenEs muss sichergestellt werden, dass die IT-Systeme, Dienste und Informationen der Organisation kontinuierlich verfügbar sind und nicht durch Störungen oder Angriffe beeinträchtigt werden.
• Vermeidung von Ansehensverlust bzw. Imageschaden der <Organisation>Durch die Sicherstellung von Informationssicherheit trägt die Richtlinie dazu bei, den guten Ruf der <Organisation> zu schützen. Sicherheitsverletzungen können zu erheblichem Vertrauensverlust bei Kunden, Partnern und der Öffentlichkeit führen.

Rechtliche Rahmenbedingungen

Auflistung der Gesetzlichen Rahmenbedingungen der Organisation und kurze Beschreibung z.B.: (Inhalte anpassen)

• Europäischen Datenschutz-Grundverordnung (DSVGO)
• Bundesdatenschutzgesetz (BDSG)
• Telekommunikationsgesetz (TKG)
• Telemediengesetz (TMG)
• ggf. weitere branchenspezifische Gesetze und Regelungen

Geschäftsprozesse

Kurze Beschreibung der Kerngeschäftsprozesse der Organisation.

Kerngeschäftsprozesse sind die zentralen Prozesse, die unmittelbar zur Wertschöpfung eines Unternehmens beitragen und damit entscheidend für den Unternehmenserfolg sind. Sie sind in der Regel eng mit den strategischen Zielen des Unternehmens verknüpft und haben direkten Einfluss auf die Kundenzufriedenheit und die Rentabilität des Unternehmens.

Um die Kerngeschäftsprozesse zu identifizieren, nutze folgende Schritte:

1. Geschäftsziele: Überlege, welche Ziele dein Unternehmen erreichen möchte. Das können Umsatzwachstum, Gewinnmaximierung, Kundenzufriedenheit, Kostensenkung, Qualitätsverbesserung oder andere Ziele sein.
2. Geschäftsprozesse: Erstelle eine Liste aller Prozesse, die in deinem Unternehmen ablaufen. Prozesse sind wesentliche, wiederholbare Aktivitäten oder Arbeitsabläufe, die notwendig sind, um die Geschäftsziele zu erreichen oder die Produkte deines Unternehmens herzustellen.
3. Kerngeschäftsprozesse: Identifiziere aus der Liste der Geschäftsprozesse diejenigen, die am engsten mit den strategischen Zielen deines Unternehmens verbunden sind und die den größten Einfluss auf den Erfolg deines Unternehmens haben (dies sollten in der Regel nicht mehr als 3-5 Prozesse sein).

Einige Beispiele für Kerngeschäftsprozesse könnten sein:

• Produktion oder Fertigung
• Vertrieb und Marketing
• Kundenbetreuung und Service
• Forschung und Entwicklung

Beispiel:

Verantwortliche

Geschäftsführung (01)

Die Geschäftsführung ist verantwortlich für die Sicherstellung der Informationssicherheit. Dies beinhaltet die Entwicklung von Sicherheitsrichtlinien, die Bereitstellung von Ressourcen für Sicherheitsmaßnahmen, die Identifizierung und Minimierung von Risiken, die Einhaltung von Datenschutzbestimmungen, die Sensibilisierung der Mitarbeitenden für Sicherheitsfragen und die Koordination mit der IT-Abteilung oder den IT-Dienstleistern. Sie muss auch auf Sicherheitsvorfälle angemessen reagieren, Lieferantenbewertungen durchführen und Sicherheitsmaßnahmen regelmäßig überprüfen.

Mitarbeitende

Die Mitarbeitenden tragen wesentlich zur Informationssicherheit bei, indem sie Sicherheitsrichtlinien befolgen, starke Passwörter (oder bessere Alternativen) verwenden, vor Phishing schützen, verdächtige Aktivitäten melden und regelmäßige Software-Updates durchführen. Sie sollten auch sichere Datenpraktiken pflegen, vertrauenswürdige Quellen für Downloads wählen und bei der Nutzung von Geräten und Netzwerken angemessene Vorsicht walten lassen.

Maßnahmen zur Informationssicherheit

Organisation & Sensibilisierung

Verantwortlichkeit für Informationssicherheit (02)

Die Geschäftsführung hat die Gesamtverantwortung für die Informationssicherheit der Organisation. Sie ist dafür verantwortlich, angemessene und wirksame Regelungen zum Schutz der Informationen der Organisation zu ergreifen. Dies umfasst unter anderem:

• Sicherheitsziele: Die Organisationsleitung legt messbare und erreichbare Sicherheitsziele für die Organisation fest, an denen sich alle Maßnahmen der Organisation orientieren.
• Risikomanagement: Die Organisationsleitung identifiziert die Risiken für die Informationssicherheit der Geschäftsprozesse der Organisation, bewertet diese und ergreift angemessene Maßnahmen, um diese zu minimieren.
• Strategie und Richtlinien: Die Organisationsleitung entwickelt eine umfassende Strategie für die Informationssicherheit, die Richtlinien, Verfahren und Standards enthält, um die Umsetzung der Strategie zu gewährleisten.
• Ressourcenmanagement: Die Organisationsleitung stellt ausreichende Ressourcen für die Umsetzung der Informationssicherheitsstrategie bereit, einschließlich finanzieller, personeller und technischer Ressourcen.
• Schulung und Sensibilisierung: Die Organisationsleitung stellt sicher, dass alle Mitarbeitenden über die Bedeutung der Informationssicherheit und die von ihnen zu ergreifenden Maßnahmen informiert sind und entsprechend geschult werden.
• Überwachung und Verbesserung: Die Organisationsleitung überwacht die Wirksamkeit der Informationssicherheitsmaßnahmen, um sicherzustellen, dass sie angemessen sind und den sich ändernden Bedrohungen und Risiken gerecht werden. Zudem veranlasst sie bei Bedarf Verbesserungen und Anpassungen, um die Informationssicherheit aufrechtzuerhalten und zu verbessern.

Beauftragter für Informationssicherheit

In Kleinstunternehmen (< 10 MA) kann dies im ungünstigsten Fall die Organisationsleitung selbst sein, besser ist es jedoch, einen Mitarbeitenden zu benennen, der bereits Erfahrung mit Informationssicherheit hat oder bereit ist, sich in das Thema einzuarbeiten. Die Organisationsleitung selbst ist keine gute Wahl, da sie sich auf die wirtschaftlichen Ziele der Organisation konzentriert, was zu einem Zielkonflikt mit der Informationssicherheit führen kann.

Der Informationssicherheitsbeauftragte (ISB) ist für den Aufbau und die Koordination des Informationssicherheitsmanagements verantwortlich und untersteht als Stabsstelle direkt der Organisationsleitung.

Seine Aufgaben sind u.a.:

• Berichterstattung und Beratung der Leitung zu Belangen der Informationssicherheit
• Koordination der Schulungen und Sensibilisierung der Mitarbeitenden zur Informationssicherheit
• Entwicklung und Fortschreibung der Sicherheitskonzeption der Organisation
• Begleitung und Auswertung von Sicherheitsvorfällen
• Begleitung der Einführung neuer Verfahren und Anwendungen

Die Geschäftsführung hat <Name des ISB> zum Informationssicherheitsbeauftragten (ISB) ernannt.

Der ISB ist zu <xx>% für die Bearbeitung von Themen der Informationssicherheit freigestellt.

Der ISB nimmt selbst regelmäßig an Fortbildungen zur Informationssicherheit teil und erhält dafür ein angemessenes Budget.

Er schult und sensibilisiert alle Mitarbeitenden regelmässig (mind. 2x / Jahr) zu Themen der Informationssicherheit.

Meldung von Sicherheitsvorfällen

Alle Mitarbeitenden sind aufgefordert Sicherheitsvorfälle oder andere Auffälligkeiten möglichst unverzüglich an den ISB <Telefonnummer, Email-Adresse> zu melden.

Sicherheitsvorfälle können z.B. sein:

• ein vermuteter oder erkannter Virenbefall oder andere Schadsoftware,
• vermutete oder erkannte Phishing-Emails oder andere Verdächtige Emails, Anrufe oder sonstige auffällige Kontaktversuche,
• vermuteter oder erkannter Datenverlust oder Datendiebstahl,
• Verlust von IT-Geräten, Smartphones, Datenträgern, USB-Sticks oder anderen sicherheits- oder datenschutzrelevanten Geräten oder Unterlagen.

Externe Dienstleister

Externe Dienstleister sind Unternehmen oder Personen, die außerhalb der <Organisation> tätig sind und bestimmte Aufgaben oder Dienstleistungen für die <Organisation> erbringen. Die Zusammenarbeit mit externen Dienstleistern erfordert eine sorgfältige Planung und Überwachung, um die Sicherheit der Informationen und Daten zu gewährleisten. Externe Lieferanten und Dienstleister müssen ebenfalls die in dieser Richtlinie festgelegten Regeln zum Datenschutz und zur Informationssicherheit einhalten.

Jeder externe Lieferant oder Dienstleister, der mit vertraulichen Informationen der <Organisation> in Kontakt kommt oder kommen kann, muss vor Vertragsabschluss eine Vertraulichkeitserklärung unterschreiben.

Umgang mit Informationen

Alle Informationen der <Organisation> müssen bezüglich ihrer Relevanz für die Informationssicherheit eingestuft werden (Klassifizierung). Hierfür ist jeder Mitarbeitende der Informationen erstellt, erhebt oder von Dritten (z.B. Partnern, Kunden) übergeben bekommt selbst verantwortlich, In Zweifelsfällen hilft der ISB bei der Klassifizierung.

In der <Organisation> werden die Klassen öffentlich, intern und vertraulich verwendet. Nicht klassifizierte Dokumente entsprechen der Klasse öffentlich.

Die Klassifizierung ist im Kopf des Dokuments oder bei anderen Daten in der zugehörigen Dokumentation anzugeben.

Die Bedeutung der Klassen und deren Verwendung ist der folgenden Tabelle definiert:

Richtlinie für mobiles Arbeiten

Für Mitarbeitende, die mobil oder im Home Office arbeiten, gelten die Regelungen für mobiles Arbeite.

Die betroffenen Mitarbeitenden müssen hierfür die "Erklärung für mobiles Arbeiten" unterschreiben und damit bestätigen, dass sie die Regelungen für mobiles Arbeiten beachten und einhalten.

Identitäts- und Berechtigungsmanagement

Identitäts- und Berechtigungsmanagement dient dazu, den Zugang zu Informationen zu steuern und zu überwachen, indem es gewährleistet, dass nur autorisierte Personen oder Systeme entsprechend ihrer Rolle und Verantwortung Zugriff erhalten.

Zutrittsregelung

Büroräume müssen in Abwesenheit abgeschlossen werden.

Kunden, Geschäftspartner und andere Besucher dürfen die Büroräume nur in Begleitung eines Mitarbeitenden betreten, ansonsten dürfen sie sich nur in den öffentlichen Bereichen (Lobby, Besprechungsräume, etc.) aufhalten.

Zugriffsregelung

Alle IT-Systeme, sowie interne und vertrauliche Unterlagen der <Organisation> müssen vor unbefugtem Zugriff geschützt werden.

IT-Systeme sind durch geeignete Maßnahmen (Passwort, Passkey oder alternative Methoden) zu schützen.

Interne Dokumente sind bei Abwesenheit nicht sichtbar aufzubewahren (z.B. in einer Schublade, einem Schrank).

Vertrauliche Unterlagen sind bei Abwesenheit unter Verschluss zu halten (z.B. abgeschlossener Schrank mit abgezogenem Schlüssel).

Passwortregelung

Das komplexeste Passwort ist nutzlos wenn es einem Angreifer leicht zur Verfügung gestellt wird.

Hier kommt allen Mitarbeitenden und Nutzern eine besondere Verantwortung zu. Folgende Regeln müssen bei der Nutzung von Passworten grundsätzlich beachtet werden:

• Passwörter sind geheim zu halten!
  • Passworte dürfen nicht schriftlich notiert werden (auch nicht in Excel Tabellen o.ä.),
  • Passworte dürfen nicht per Email oder anderen Messengerdiensten versendet werden,
  • Passworte dürfen nicht per Telefon mitgeteilt werden,
  • Die Passworteingabe muss geheim (unbeobachtet) erfolgen,
• Das Speichern von Passworte ist nur in dem dafür vorgesehen und freigegebenen Passwortsafe erlaubt. Insbesondere eine Speicherung auf Funktionstasten oder ähnlich automatisierte Eingabefunktionen ist nicht erlaubt.
• Passworte die leicht zu erraten sind, sind nicht erlaubt. Zu vermeiden sind insbesondere:
  • Zeichenwiederholungen,
  • Zahlen und Daten aus dem Lebensbereich des Benutzers (z.B. Geburtsdatum),
  • Trivialpassworte wie Namen oder Begriffe des Berufs oder Alltags,
  • Zeichenfolgen, die durch nebeneinander liegende Tasten eingegeben werden (qwertz).
• Es dürfen keine Passworte verwendet werden, die auch im privaten Umfeld (z.B. in Shopping-Portalen oder Social Media Accounts) genutzt werden.
• Jedes Passwort sollte nur einmal verwendet werden. Für jedes System sollte ein eigenes Passwort verwendet werden, für sensible System mit hohem Schutzbedarf muss ein individuelles Passwort verwendet werden.

Für kurzzeitig genutzte Initial- und Einmalpassworte wie sie z.B. zur Passwort Zurücksetzung verwendet werden, kann von den Regelungen abgewichen werden.

Für normale Benutzeraccounts ohne administrative Berechtigungen gelten zusätzlich folgende Regeln:

• Die Mindestlänge des Passworts beträgt 8 Zeichen
• Das Passwort muss aus mindestens drei der folgenden Zeichengruppen bestehen:
  • Großbuchstaben (ABCDEFG...)
  • Kleinbuchstaben (abcdefg...)
  • Ziffern (0123456789)
  • Sonderzeichen (!#$%()*+,-./:;<=>)
• Das Passwort sollte mindestens einmal im Jahr geändert werden.
• Bei Mißbrauchsverdacht muss das Passwort unverzüglich geändert werden.
• Die letzten fünf Passworte dürfen nicht erneut verwendet werden.
• Bei mehr als fünf Fehlversuchen sollte eine Eingabeverzögerung von mindestens einer Minute oder die zusätzliche Abfrage eines Captcha erfolgen, alternativ muss der Account nach mehr als fünf Fehlversuchen gesperrt werden.

Datensicherung

Die Datensicherung und Wiederherstellung sind entscheidende Aspekte für die Kontinuität und den Schutz von Unternehmensdaten. Durch die Implementierung einer umfassenden Backup-Strategie, regelmäßige Tests und einen gut durchdachten Notfallwiederherstellungsplan können wir im Falle eines Datenverlusts schnell wieder betriebsbereit sein.

Backup-Strategie

Um die Verfügbarkeit und Integrität der Unternehmensdaten zu gewährleisten, sind die folgenden Maßnahmen unternehmensweit umzusetzen.

Regelmäßige Backups

Es wird eine regelmäßige Backup-Routine implementiert, die täglich inkrementelle Backups sowie wöchentliche vollständige Backups umfasst. Die wöchentlichen Backups sind für mindestens vier Wochen (für kritische Systeme mindestens acht Wochen) aufzubewahren. Zum Schutz vor Ransomware-Angriffen müssen die Wöchendlichen Backups von kritischen Systeme zusätzlich schreibgeschützt oder offline vorgehalten werden.

Differenzierte Speicherung

Die Backups werden differenziert gespeichert, einschließlich lokaler Speichermedien für schnelle Wiederherstellungen und externer oder cloudbasierter Speicher für zusätzliche Redundanz und Katastrophenschutz.

Versionierung

Versionierung von Backups wird implementiert, um auf verschiedene Zeitpunkte zurückgreifen zu können. Dies erleichtert die Wiederherstellung von Daten in verschiedenen Zuständen.

Restore-Tests

Die Effektivität der Datensicherung wird durch regelmäßige Restore-Tests gewährleistet. Diese Tests umfassen das Wiederherstellen von Daten auf einem Testsystem, um sicherzustellen, dass alle relevanten Daten korrekt wiederhergestellt werden können. Dieses Test werden jährlich und nach größeren Softwareupdates durchgeführt.

Notfallwiederherstellungsplan

Ein umfassender Notfallwiederherstellungsplan wird erstellt und regelmäßig aktualisiert. Dieser Plan beinhaltet:

1. Verantwortlichkeiten: Die klare Zuweisung von Verantwortlichkeiten für die Durchführung der Notfallwiederherstellung sowie die Kommunikation mit den relevanten Stakeholdern.
2. Priorisierung der Wiederherstellung: Die Priorisierung der Systeme und Daten, um sicherzustellen, dass kritische Geschäftsprozesse zuerst wiederhergestellt werden.
3. Kommunikationsplan: Ein Kommunikationsplan, der sicherstellt, dass alle relevanten Parteien im Falle eines Notfalls informiert werden, einschließlich der Kontaktdaten und Eskalationsprozesse.
4. Backup von Konfigurationsdaten: Die regelmäßige Sicherung von Konfigurationsdaten, um sicherzustellen, dass auch die notwendigen Einstellungen und Konfigurationen im Wiederherstellungsprozess berücksichtigt werden.
5. Datensicherungstests und Überprüfungen: Die Backup-Integrität wird durch regelmäßige Überprüfungen und Tests sichergestellt:
   • Integritätsprüfungen - Regelmäßige Prüfungen der Backup-Integrität, um sicherzustellen, dass die gesicherten Daten nicht beschädigt oder unvollständig sind.
   • Protokollierung und Berichterstattung - Protokollierung und Berichterstattung über den Status der Datensicherungen, um schnell auf potenzielle Probleme reagieren zu können.
   • Anpassung an geschäftliche Veränderungen - Regelmäßige Überprüfung und Anpassung der Backup-Strategie an geschäftliche Veränderungen, wie zum Beispiel die Einführung neuer Systeme oder Daten.

Ressourcen- und Budgetplanung

Die Datensicherung erfordert angemessene Ressourcen und Budget. Dies beinhaltet die Bereitstellung von ausreichendem Speicherplatz für Backups, die Anschaffung von Backup-Software und Hardware, sowie die Schulung des Personals.

Verschlüsselung und Compliance

Die Sicherheit der Backup-Daten wird durch die Verschlüsselung aller Backup-Medien gewährleistet. Zudem wird darauf geachtet, dass die Datensicherung den geltenden Datenschutz- und Compliance-Richtlinien entspricht.

Patch- und Änderungsmanagement

Ein gut strukturiertes Patch- und Änderungsmanagement steigert maßgeblich unsere IT-Sicherheit. Durch regelmäßige Updates und sorgfältige Planung können viele Sicherheitsrisiken minimiert werden.

Patch-Management-Prozess

• Planung: Für alle Systeme wird ein Patch-Management-Plan erstellt, der festlegt, wie und wann Patches und Updates durchgeführt werden.
• Quellen für Patches: Siwoweit vorhanden, werden Benachrichtigungen von Softwareherstellern und Sicherheitsplattformen boniert, um über neue Patches informiert zu werden.
• Bewertung und Testung: Vor der Implementierung neuer Patches werden diese in einer Testumgebung geprüft, um Kompatibilitätsprobleme zu vermeiden.
• Implementierung: Patches und Updates werden regelmäßig monatlich am <Wartungsfenster definieren> installiert. Dringende Sicherheitspatches können außerplanmäßig und kurzfristig umgesetzt werden.

Änderungsmanagement

• Dokumentation: Jede Änderung an Software oder Systemkonfigurationen muss dokumentiert werden. Die Dokumentation sollte den Grund für die Änderung, die betroffenen Systeme und die beteiligten Personen umfassen.
• Genehmigungsverfahren: Änderungen werden erst nach Genehmigung durch die jeweils fachliche Leitung implementiert. Dies hilft, unbeabsichtigte Störungen zu vermeiden.
• Überprüfung und Monitoring: Nach der Durchführung einer Änderung muss das System getestet und überwacht werden, um sicherzustellen, dass alles ordnungsgemäß funktioniert und keine neuen Sicherheitslücken entstanden sind.

Schutz vor Schadprogrammen

Der Schutz vor Schadsoftware erfordert ein Bündel aus technischen und organisatorischen Maßnahmen sowie ein hohes Maß an Bewusstsein bei allen Mitarbeitenden.

Präventive Sicherheitsmaßnahmen

• Antivirensoftware: Auf allen Endgeräten und Servern wird eine aktuelle Antivirensoftware eingesetzt. Die Software wird automatisch aktualisiert und überwach die Systeme in Echtzeit.
• Firewalls: An allen Netzübergängen werden Firewalls eingesetzt. Auf allen Servern und Clientsysteme ist eine lokale Firewall aktiviert um unser Netzwerk und den Datenverkehr zu schützen.
• E-Mail-Sicherheit: Auf den zentralen Email-Systemen werden eingehende Nachrichten auf Schadsoftware und Phishing-Angriffe überprüfen.

Betriebliche Maßnahmen

• Regelmäßige Updates: Viele Malware-Attacken nutzen Sicherheitslücken in veralteter Software. Die Betriebssysteme und alle installierten Programme werden deshalb durch regelmäßige Updates auf dem neuesten Stand gehalten (siehe Patch- und Änderungsmanagement).
• Zugriffsrechte: Die Benutzerrechte werden auf die für die jeweiligen Aufgaben unbedingt notwendigen Berechtigungen beschränkt. Administrative Rechte werden nur Mitarbeitern gewährt, die diese für ihre Arbeit benötigen.
• Datensicherung: Auf allen zentralen Servern werden täglich Datensicherungen durchgeführt (siehe Datensicherung). Im Falle eines Malware-Befalls können wir so verlorene Daten wiederherstellen.

Schulung und Bewusstsein

• Mitarbeiterschulungen: Mitarbeiternde werden regelmäßig über die Risiken durch Schadsoftware und sicheres Verhalten im Internet informiert und fortgebildet. Dazu gehören Themen wie der sichere Umgang mit E-Mails, das Erkennen von Phishing-Versuchen und sichere Passwörter.
• Sicherheitsrichtlinien: Neben dieser Informationssicherheitsrichtlinie regeln weiterführende Leitfäden den sicheren Umgang mit verdächtigen E-Mails und Anhängen, das Herunterladen von Software und den Zugriff auf fragwürdige Websites.

IT-Systeme und Netzwerke

Firewall

Die Organisation betreibt eine Firewall, um unser Unternehmensnetzwerk vor unbefugtem Zugriff und Cyberangriffen zu schützen. Sie bildet eine entscheidende Sicherheitsbarriere, die nur autorisierte Verbindungen zulässt und den ein- und ausgehenden Datenverkehr auf potenzielle Bedrohungen überwacht.

Installation der Firewall

Die Firewall ist so in die Netzwerkarchitektur der Organisation integriert, dass nur erlaubter Datenverkehr in das Netzwerk gelangt und sie unser Netz vor Angriffen aus dem Internet schützt. Jede neu angeschaffte IT-Hardware oder Software, die eine Netzwerkverbindung herstellt, muss hinter der Firewall betrieben werden.

Konfiguration der Firewall

Die Firewall wird so konfiguriert, dass nur die für die Organisation unbedingt erforderlichen Dienste und Verbindungen zugelassen sind. Die Konfiguration wird nach dem Prinzip der minimalen Berechtigung vorgenommen, um das Risiko von Angriffen durch unnötig geöffnete Ports oder Dienste zu minimieren.

Die Firewall-Konfiguration muss regelmäßig überprüft und bei Bedarf angepasst werden, insbesondere bei Änderungen an der Netzwerkinfrastruktur oder den Geschäftsanforderungen.

Zuständigkeiten

Für die Entscheidung über die Konfiguration der Firewall ist eine verantwortliche Person benannt, die über die notwendigen technischen Kenntnisse verfügt. Diese Person trägt die Verantwortung für die ordnungsgemäße Einrichtung und Pflege der Firewall-Regeln.

Diese Person kann in kleinen Organisationen ggf. auch ein externer Dienstleister sein.

Vor jeder Änderung an der Konfiguration muss das Risiko für die Organisation bewertet und dokumentiert werden.

Dokumentation und Überprüfung

Jede Änderung an der Firewall-Konfiguration muss dokumentiert werden, einschließlich der Gründe für die Änderung und der durchgeführten Tests zur Sicherstellung der Funktionsfähigkeit. Eine regelmäßige Überprüfung der Firewall-Regeln ist erforderlich, um sicherzustellen, dass die Konfiguration den aktuellen Anforderungen entspricht und Sicherheitsrisiken minimiert werden.

Notfallmaßnahmen

Bei einem Sicherheitsvorfall muss die Firewall sofort überprüft und gegebenenfalls angepasst werden, um die Bedrohung einzudämmen und den Betrieb des Netzwerks zu sichern.

Schulung

Mitarbeitende, die mit der Verwaltung der Firewall betraut sind, müssen regelmäßig an Schulungen zu den Themen Netzwerksicherheit und Firewall-Konfiguration teilnehmen, um die Sicherheitsanforderungen der Organisation zu gewährleisten.

Passwortschutz

Auf jedem Gerät muss ein Passwort geschützter Bildschirmschoner aktiviert sein. Bei Nichtnutzung muss das Gerät nach spätestens 10 Minuten gesperrt werden.

Bei verlassen des Arbeitsplatzes muss das Gerät sofort manuell gesperrt werden (Windows: [Windowstaste]+L) um Unbefugten (z.B: Servicepersonal) keinen Zugriff zu ermöglichen.

Mobiles Arbeiten

In der Organisation wird grundsätzlich der Ansatz des hybriden Arbeitens verfolgt. Alle Clients verfügen über eine Festplattenverschlüsselung und eine 2-Faktor-Authentisierung (2FA) für die Verbindung zum VPN. Mobiles Arbeiten kann sowohl in einem freien Büroraum am Standort, in Coworking Spaces, im Homeoffice des Mitarbeitenden, an einem beliebigen anderen Arbeitsplatz oder unterwegs erfolgen, sofern dies den Regelungen der Organisation zum mobilen Arbeiten entspricht. Für die unterschiedlichen Einsatzszenarien wurde entsprechende Leitfäden erstellt:

• Leitfaden "Homeoffice"
• Leitfaden "sicher unterwegs"
• Leitfaden "Arbeiten im Ausland"

WLAN Nutzung

Interne WLAN-Netzwerke werden mit starker Verschlüsselung (WPA3) geschützt. Der Zugang ist nur autorisierten Geräten und Nutzenden erlaubt.

Öffentliche WLANs dürfen für geschäftliche Zwecke nur über das VPN verwendet werden, um die Verbindung zu sichern.

Mitarbeiterende werden regelmäßig über sichere WLAN-Nutzung informiert und geschult.

Private Nutzung

Die private Nutzung sowie die Nutzung des WLAN durch Externe (Servicepersonal, Kunden) ist zu regeln. z.B:

Die private Nutzung der organisationseigenen Infrastruktur (Notebooks, Netzwerk, Server) ist nicht erlaubt. Für die Nutzung eigener/privater Geräte sowie für Servicepersonal, Dienstleister und Kunden steht ein eigenes Gäste-WLAN (Name des WLAN/SSID) zur Verfügung. Das Gäste-WLAN bietet einen Internetzugang und ist vom organisationseigenen Netz getrennt.

Fernwartung

Für Fernzugriffe und Fernwartung gelten in der Organisation folgende allgemeine Sicherheitsanforderungen, die darauf abzielen, die Sicherheit und Integrität der Systeme und Daten während dieser Aktivitäten zu gewährleisten:

Authentifizierung und Autorisierung

• Es ist eine starke Authentifizierung erforderlich, um sicherzustellen, dass nur autorisierte Benutzer auf die Systeme zugreifen können.
• Die Autorisierung muss genau festlegen, welche Ressourcen und Daten ein Benutzer während des Fernzugriffs oder der Fernwartung nutzen oder ändern kann.
• Eine Zwei-Faktor-Authentisierung ist mindestens bei Ferwartung mit administrativen Berechtigungen und bei Fernzugriff auf personebezogenen Daten obligatorisch.

Verschlüsselung des Datenverkehrs

• Alle Daten, die während des Fernzugriffs und der Fernwartung übertragen werden, müssen angemessen verschlüsselt sein, um sie vor unbefugtem Zugriff zu schützen.
• Die Verwendung von sicheren Protokollen wie SSL/TLS für die Datenübertragung ist unerlässlich.

Überwachung

• Eine Überwachung und Protokollierung von Fernzugriffssitzungen ist nötig, um verdächtige Aktivitäten zu erkennen und darauf zu reagieren.

Elementarschäden

Der Schutz vor Elementarschäden bezieht sich auf Maßnahmen zum Schutz von Gebäuden, Anlagen und Ressourcen vor Naturkatastrophen und extremen Umwelteinflüssen (Sturm, Wasser, Hitze, Blitzschlag).

Es müssen alle für die Organisation relevanten Elementarschadensrisiken erfasst und entsprechende Schutzmaßnahmen beschrieben werden. So ist z.B. nicht überall mit Hochwasser zu rechnen, während bestimmte Gebiete besonders gefährdet sind. Bei angemieteten Gebäuden und Räumen ist auf einen ausreichenden Brandschutz zu achten, bei IT-Betriebsräumen ist z.B. zu beachten, dass ein Standard-ABC-Feuerlöscher zwar den Brand löscht, das darin enthaltene Löschpulver aber so aggressiv ist, dass auch nicht direkt vom Feuer betroffene IT-Komponenten durch das Löschpulver zerstört werden können. Hier sollten technikschonende CO2-Löscher eingesetzt werden, die wiederum durch die Sauerstoffverdrängung ein Risiko für das Personal darstellen, so dass das Personal in der sicheren Handhabung unterwiesen werden sollte.

Kurze Bestandsaufnahme der relevanten Elementarschänden:

• Erdbeben: Kurze Beschreibung ob und für welche Standorte ein Erbebenrisiko besteht und welche Schutzmaßnahmen ergriffen werden (z.B. Ausweichstandort und Datenspiegelung).
• Hochwasser: Kurze Beschreibung ob und für welche Standorte ein Hochwasserrisiko besteht (z.B. Ausweichstandort und Datenspiegelung).
• Stürme und Wirbelstürme: Kurze Beschreibung ob und für welche Standorte ein Sturmrisiko besteht (z.B. Ausweichstandort und sturmsichere Gebäudeteile, Schutzkeller/Bunker).
• Erdrutsche: Kurze Beschreibung ob und für welche Standorte ein Erdrutschrisiko besteht (z.B. Ausweichstandort und Datenspiegelung).
• Trockenheit: Kurze Beschreibung ob und für welche Standorte ein Risiko aufgrund von Trockenheit besteht (z.B. Wasserknappheit, fehlendes Kühlwasser).
• Feuer: Alle Gebäude sind mit Rauchmeldern und Feuerlöschern ausgestattet. Die EDV-Räume sind mit CO2-Feuerlöschern ausgerüstet. Die Mitarbeitenden werden jährlich im Umgang mit den Feuerlöschern geschult.
• Blitzschlag/Überspannung: Alle Gebäudeteile sind mit einem Blitzschutz nach DIN EN 62305 (VDE 0185-305) ausgestattet, EDV-Betriebsräume und sensible Einrichtungen sind mit einer netzgetrennten USV oder einem Überspannungsschutz versehen.

Schlussbemerkung

Revision

Diese Richtlinie wird regelmäßig, jedoch mindestens einmal pro Jahr, durch den Regelungsverantwortlichen auf Aktualität und Konformität geprüft und bei Bedarf angepasst.

Inkrafttreten

Diese Richtlinie tritt zum <01.01.2222> in Kraft.

Freigegeben durch: <Organisationsleitung>

Ort, 01.12.2220,

Unterschrift, Name der Leitung