QuickCheck
QuickCheck Basissicherheit
Diese Checkliste soll helfen, durch die Beantwortung weniger Fragen in kurzer Zeit einen Überblick über den Stand der Informationssicherheit einer Organisation zu erhalten. Der Quickcheck richtet sich an Einsteiger, die sich bisher noch nicht oder nur punktuell bzw. eher technisch mit dem Thema Informationssicherheit auseinandergesetzt haben.
Vorgehen
Da diese Checkliste allgemein und ohne Berücksichtigung der konkreten IT-Struktur und des Schutzbedarfs einer Organisation erstellt wurde, kann das Ergebnis nur ein sehr oberflächliches Bild vermitteln und erhebt keinen Anspruch auf Vollständigkeit und Richtigkeit! Lest die Fragen in Ruhe durch und versucht, sie auf eure Organisation zu adaptieren. Die Fragen haben keine besondere Detailtiefe, es geht auch nicht um eine abschließende oder zertifizierbare Bewertung.
Hier einige Beispiele für die Beantwortung der Fragen:
Wurde der IT-Sicherheitsbeauftragte angemessen geschult?
Was bedeutet hier "angemessen geschult"? Diese Frage kann nicht absolut beantwortet werden. Ein Sicherheitsbeauftragter einer kleinen Organisation mit geringem Schutzbedarf, der die Aufgabe nur nebenberuflich wahrnimmt, wird hier sicherlich andere Anforderungen stellen als ein Sicherheitsbeauftragter in einem großen Konzern, dessen Aufgabe es ist, den Vorstand zu beraten. Die Frage ist also: Fühlt sich der Sicherheitsbeauftragte ausreichend geschult, um die an ihn gestellten Anforderungen zu erfüllen? Oder schwimmt er nur in seinem Job und hofft, nicht unterzugehen?
Werden unsichere und nicht benötigte Protokolle im Netzwerk deaktiviert?
Die Frage ist nicht, was "unsichere" und was "sichere" Protokolle sind. Die eigentliche Frage ist: Wurde überhaupt darüber nachgedacht, welche Protokolle eingesetzt werden? Wurden die eingesetzten Protokolle unter Sicherheitsaspekten bewertet und auf Basis einer nachvollziehbaren Abwägung zwischen Funktionalität und Sicherheit entschieden, welche Protokolle eingesetzt werden und welche besser nicht?
Wer also den Fragebogen in 15 Minuten ausgefüllt hat, wird kaum ein wirklich brauchbares Ergebnis erhalten.
Ziel dieses Fragebogens ist es nicht, eine Kennzahl zu erhalten, im Sinne von "wir haben 75% erreicht, Note: gut". Er soll vielmehr ein Gefühl dafür vermitteln, wo die eigenen Baustellen liegen und wo gegebenenfalls Handlungsbedarf besteht.
Fragenkatalog
Sicherheitsmanagement
Frage | Ja | Teilw. | Nein |
---|---|---|---|
Gibt es eine Leitlinie zur IT-Sicherheit? In einer Leitlinie definiert die Leitung verbindliche IT-Sicherheitsziele und übernimmt ausdrücklich die eigene Verantwortung für die IT-Sicherheit. |
|||
Gibt es einen IT-Sicherheitsbeauftragten? Ein IT-Sicherheitsbeauftragter berät die Leitung in Fragen der IT-Sicherheit, erstellt/überprüft Sicherheitskonzepte, koordiniert deren Umsetzung, sensibilisiert und schult Mitarbeiter. |
|||
Wurde der IT-Sicherheitsbeauftragte angemessen geschult? | |||
Werden IT-Sicherheitserfordernisse bei der Planung von Netzwerkerweiterungen, Neuanschaffungen von IT-Systemen, Software und IT-Dienstleistungsverträgen, frühzeitig berücksichtigt? | |||
Sind die relevanten gesetzlichen Rahmenbedingungen bekannt und werden diese bei der Planung und Umsetzung der Sicherheitsmaßnahmen beachtet? (z.B. DSGVO, IT-Sicherheitsgesetz (KRITIS), KonTraG, GoBD, KWG, TMG, ...) |
|||
Sind die bestehenden Sicherheitsregelungen und Zuständigkeiten allen betroffenen Mitarbeitern bekannt? | |||
Werden jedem (neuen) Mitarbeiter alle relevanten Richtlinien und Regelungen ausgehändigt oder auf andere Weise (z.B. online) verfügbar gemacht? | |||
Werden Mitarbeiter regelmäßig (min. jährlich) auf die Einhaltung von Sicherheitsregelungen sensibilisiert/geschult? | |||
Wissen alle Mitarbeiter, wie sie sich bei einem Sicherheitsvorfall (z.B. Virenbefall) zu verhalten haben? | |||
Gibt es Checklisten für die Einstellung und das Ausscheiden von Mitarbeitern? Zur Einrichtung und Entzug von Berechtigungen, Passwörtern, Schlüsseln, Security-Card, ... |
|||
Gibt es ein grundlegendes Konzept zu Schutz vor Schadsoftware? Schutz vor Viren, (Verschlüsselungs-)Trojaner, Maleware, ... |
|||
Werden Sicherheitsmaßnahmen regelmäßig überprüft? |
Datenschutz
Frage | Ja | Teilw. | Nein |
---|---|---|---|
Ist ein Datenschutzbeauftragter bestellt oder ist der Leitung bewusst, das sie diese Funktion übernimmt, wenn (bei weniger als 9 Mitarbeitern) kein DSB bestellt ist? | |||
Ist der Datenschutzbeauftragte (oder die Leitung) angemessen geschult? | |||
Wird der Datenschutzbeauftragte (oder die Leitung) in die Entscheidungsprozesse für die Festlegung der Sicherheitsmaßnahmen eingebunden? | |||
Sind alle Beschäftigten auf das Datengeheimnis i.S.d. § 53 BDSG verpflichtet worden? | |||
Werden auch externe Mitarbeiter (z.B. Dienstleister, Reinigungskräfte, Werkstudenten u.ä.) auf das Datengeheimnis verpflichtet? | |||
Liegt ein vollständiges und aktuelles Verzeichnis der Verarbeitungstätigkeiten vor? | |||
Ist geregelt welche Daten erfasst werden dürfen, wer Zugriff bekommt, wie sie verarbeitet werden dürfen (Zweckbindung) und wann sie gelöscht werden müssen? | |||
Werden die Mitarbeiter regelmäßig (z.B. jährlich) zu Datenschutzthemen geschult? | |||
Gibt es eine Übersicht aller Dienstleister/Lieferanten, die entweder Daten im Auftrag des Unternehmens verarbeiten oder IT-Systeme warten und pflegen? | |||
Gibt es für diese Auftragnehmer entsprechende Verträge zur Auftragsdatenverarbeitung? | |||
Werden Auftragnehmer bei einer Auftragsdatenverarbeitung vor Vertragsschluss im Hinblick auf die getroffenen IT-Sicherheitsmaßnahmen kontrolliert? | |||
Gibt es eine Regelung zur privaten Nutzung von Email und Internet im Unternehmen? | |||
Existiert im Unternehmen eine Stelle, die die Rechte der Betroffenen (z.B. Auskunfts- oder Löschersuchen) bearbeitet? |
Gebäude und Räume
Frage | Ja | Teilw. | Nein |
---|---|---|---|
Gibt es ein grundlegendes Gebäudemanagement das Gefahren für das Gebäude managed (Einbruchsschutz, Brandschutz, Blitzschutz, Hochwasserschutz,…)? | |||
Gibt es ein Konzept zur Zutrittskotrolle (Schlüsselkonzept, Zutrittskontrollsystem) zumindest für sensible Bereiche (Serverraum, Administratoren Büros, Arbeitsplätze an denen sensible Daten verarbeitet werden)? | |||
Sind Kabelführungen (Strom und Netzwerk) fachgerecht verlegt und dokumentiert? | |||
Sind Server- und Technikräume bezüglich Lüftung, Klima, Zutrittsschutz, Brandfrüherkennung, ausreichend dimensioniert und ausgestattet? | |||
Sind Stromanschlüsse für Rechenzentren, Server- oder Technikräume sinnvoll aufgeteilt/separiert und ausreichendend dimensioniert? |
Netzwerk
Frage | Ja | Teilw. | Nein |
---|---|---|---|
Gibt es ein dokumentiertes Sollkonzept zur Netzinfrastruktur, das Sicherheitsaspekte wie Kapazitätsplanung, Segmentierung in Schutzbereiche, sichere Netzübergänge berücksichtigt? | |||
Gibt es eine aktuelle Netzdokumentation (Netzplan, Verkabelung, Segmentierung, Konfiguration von Netzkomponenten, Policies)? | |||
Sind alle Netzkomponenten zutrittsgeschützt eingebaut (z.B. in abschließbaren Technikräume oder Etagenracks)? | |||
Ist das Netz physisch oder logisch in unterschiedliche Sicherheitsbereiche (mindestens: Server, Clients, DMZ/öffentlicher Bereich) unterteilt? | |||
Sind die Sicherheitsbereiche ausreichend (z.B. durch eine Firewall) geschützt und gibt es klar definierte Kommunikationsregeln (Policies)? | |||
Sind Anbindungen an Fremdnetze (z.B. Internet) ausreichend geschützt und werden eingehende Verbindungen überwacht (z.B. Sicherheitsgateway / ALG)? | |||
Werden Netzkomponenten nur über sichere Protokolle von einer zentralen Stelle (Netzmanagementsystem) administriert und überwacht? | |||
Sind unsichere und nicht benötigte Protokolle im Netz deaktiviert? | |||
Werden auf allen Netzkomponenten und Firewalls aktuelle Betriebssysteme eingesetzt? | |||
Werden Netzkomponenten und Firewalls regelmäßig gepached? | |||
Werden Konfigurationsdaten von Netzkomponenten und Firewalls regelmäßig gesichert? | |||
Werden die Konfigurationen und Konfigurationsänderungen von Netzkomponenten und Firewalls überwacht? | |||
Bei Einsatz von WLAN: Gibt es ein WLAN-Konzept das die Nutzung von WLANs regelt (Segmentierung, Authentisierung, Verschlüsselung)? |
Server
Frage | Ja | Teilw. | Nein |
---|---|---|---|
Werden alle Server in gesicherten Räumlichkeiten betrieben, zu denen nur autorisiertes Personal Zutritt hat? | |||
Können nur erfolgreich authentisierte Benutzer auf die Server zugreifen (ausgenommen öffentliche (Web-)Server) | |||
Werden nur aktuelle und vom Hersteller noch gepflegte Betriebssysteme eingesetzt? | |||
Verfügen alle Server über ein zuverlässiges Patchmanagement? | |||
Verfügen alle Server über einen aktuellen Virenschutz der regelmäßig (täglich) aktualisiert wird? | |||
Sind alle nicht benötigten Dienste und Anwendungen auf den Servern deinstalliert oder deaktiviert? | |||
Sind alle von Fremdnetzen erreichbaren Server durch eine Firewall geschützt? | |||
Werden sicherheitsrelevante Ereignisse (fehlerhafte Anmeldeversuche, Konfigurationsänderungen, ...) protokolliert? | |||
Werden die Protokolle mit sicherheitsrelevanten Ereignissen regelmäßig automatisiert oder manuell auf Auffälligkeiten überprüft? |
Clients
Frage | Ja | Teilw. | Nein |
---|---|---|---|
Sind alle Mitarbeiter darauf verpflichtet bei Verlassen des Arbeitsplatzes ihren Rechner zu sperren und wird dies kontrolliert? | |||
Melden sich alle Mitarbeiter nur mit persönlichen Accounts an (keine Gruppen oder Funktionsaccounts)? | |||
Ist der Bootvorgang der Clients abgesichert, so das keine fremden Bootmedien verwendet werden können? | |||
Werden nur aktuelle und vom Hersteller noch gepflegte Betriebssysteme eingesetzt? | |||
Verfügen alle Clients über ein zuverlässiges Patchmanagement? | |||
Verfügen alle Clients über einen aktuellen Virenschutz der regelmäßig (täglich) aktualisiert wird? | |||
Werden sicherheitsrelevante Ereignisse (fehlerhafte Anmeldeversuche, Konfigurationsänderungen, ...) protokolliert? |
Mobile Geräte
Mobile Geräte sind z.B. Notebooks, Tablets, Smartphones, aber auch USB-Sticks und mobile Festplatten. Diese Geräte sind besonders gefährdet, da sie aufgrund ihres mobilen Einsatzes leichter verloren gehen oder gestohlen werden können.
Frage | Ja | Teilw. | Nein |
---|---|---|---|
Gibt es eine Richtlinie für Benutzer mobiler Geräte, die Vorgaben zur mobilen Nutzung (Homeoffice, Reisen, etc) macht? | |||
Werden auf allen Mobilgeräten nur aktuelle Betriebssysteme und Anwendungen genutzt? | |||
Werden alle Daten auf mobilen Geräten verschlüsselt? | |||
Sind alle Mobilgeräte mit einem Zugriffsschutz ausgestattet? | |||
Sind alle Mitarbeiter darauf verpflichtet Mobilgeräte zu sperren oder abzuschalten wenn diese nicht genutzt werden? | |||
Ist sichergestellt, dass auch Notebooks und andere Mobilgeräte regelmäßig aktuelle Patches und Updates erhalten? | |||
Verfügen alle Notebooks und Mobilgeräte über einen aktuellen Virenschutz der regelmäßig (täglich) aktualisiert wird? | |||
Sind alle Mitarbeite über das Verhalten bei Verlust oder Diebstahl von Mobilgeräten Informiert? |
Anwendungen
Frage | Ja | Teilw. | Nein |
---|---|---|---|
Gibt es eine Richtlinie mit Vorgaben zur Informationssicherheit bei der Entwicklung eigener Anwendungen? | |||
Werden Sicherheits- und Datenschutzaspekte bei der Auswahl und Beschaffung von Anwendungen frühzeitig berücksichtigt? | |||
Gibt es ein Testkonzept für die Einführung neuer Anwendungen oder neuer Versionen bestehender Anwendungen? |
Notfallvorsorge
Frage | Ja | Teilw. | Nein |
---|---|---|---|
Sind betriebs- und sicherheitsrelevante Passwörter sicher hinterlegt, so dass diese im Notfall (nur berechtigten) Personen zugänglich sind? | |||
Gibt es ein Datensicherungskonzept für alle relevanten Informationen (Daten, Konfigurationen, Einstellungen, ..)? | |||
Berücksichtigt das Datensicherungskonzept auch aktuelle Bedrohungen (z.B. Ransomware) mit einer schreibgeschützten Sicherung? | |||
Werden kritische Daten zusätzlich georedundant (an einem anderem Ort) gesichert bzw. gelagert (anderer Standort, vertrauenswürdiger Clouddienstleister, Bankschließfach, ..)? |
Auswertung
Die Beantwortung der Fragen gibt einen groben Überblick (Quickcheck) über den Stand der Informationssicherheit in der betrachteten Organisation. Werden alle Fragen weitgehend mit "Ja" beantwortet, kann davon ausgegangen werden, dass die grundlegenden Sicherheitsanforderungen für einen ordnungsgemäßen IT-Betrieb erfüllt sind.
Dieser Quick Check kann jedoch nicht alle Aspekte der Informationssicherheit abdecken. Eine umfassende Betrachtung ist nur durch ein Vorgehen nach einem etablierten Standard (z.B. ISO 27001, CISIS12 oder BSI IT-Grundschutz) möglich.
Weiteres Vorgehen
Um ein detailliertes Bild zu erhalten und sicherzustellen, dass alle notwendigen Maßnahmen für einen ordnungsgemäßen IT-Betrieb getroffen wurden, bietet sich z.B. ein Vorgehen nach BSI IT-Grundschutz oder CISIS12 an.