QuickCheck

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen

QuickCheck Basissicherheit

Diese Checkliste soll helfen, in kurzer Zeit, durch die Beantwortung einiger Fragen, einen Überblick über den Stand der Informationssicherheit einer Organisation zu bekommen. Der Quickcheck ist für Einsteiger gedacht, die das Thema Informationssicherheit bisher garnicht oder nur punktuell und eher technisch betrachtet haben.

Vorgehen

Da diese Checkliste allgemeingültig erstellt wurde, ohne Berücksichtigung der konkreten IT-Struktur, und des Schutzbedarfs einer Organisation, kann das Ergebnis nur ein sehr oberflächliches Bild geben und erhebt keinen Anspruch auf Vollständigkeit und Richtigkeit! Lest euch die Fragen in Ruhe durch und versuchst sie auf eure Organisation zu adaptieren. Die Fragen haben keine besondere Detailtiefe, es geht auch nicht um eine abschließende oder zertifizierbare Bewertung.

Hier ein paar Beispiele zur Beantwortung der Fragen:

Wurde der IT-Sicherheitsbeauftragte angemessen geschult?

Was ist hier "angemessen geschult"? Die Fragen lässt sich nicht absolut beantworten. An einen Sicherheitsbeauftragten einer kleinen Organisation mit geringem Schutzbedarf, der den Job nur anteilig nebenbei übernimmt, wird hier sicher ein anderer Anspruch zu stellen sein, als einen Sicherheitsbeauftragten in einem großen Konzern, dessen Job darin besteht, den Vorstand zu beraten. Die Frage ist also: Fühlt sich der Sicherheitsbeauftragte ausreichend geschult, um die an ihn gestellten Anforderungen zu erfüllen? Oder schwimmt er nur in seinem Job und hofft nicht unterzugehen?

Sind unsichere und nicht benötigte Protokolle im Netz deaktiviert?

Die Frage geht nicht darauf ein, was "unsichere" bzw. was "sichere" Protokolle sind. Die eigentliche Frage ist: Wurde überhaupt darüber nachgedacht, welche Protokolle eingesetzt werden? Wurden die eingesetzten Protokolle unter Sicherheitsaspekten bewertet und aufgrund einer nachvollziehbaren Abwägung zwischen Funktionalität und Sicherheit entschieden, welche Protokolle genutzt werden und welche besser nicht?

Wer also den Fragebogen in 15 Minuten ausgefüllt hat, wird kaum ein wirklich nutzbringendes Ergebnis bekommen.

Ziel dieses Fragebogens ist nicht eine Kennzahl zu erhalten, im Sinne von "wir haben 75% erreicht, Note: Gut". Vielmehr soll er ein Gefühl vermitteln, wo die eigenen Baustellen liegen und wo ggf. Handlungsbedarf besteht.

Fragenkatalog

Sicherheitsmanagement

Frage Ja Teilw. Nein
Gibt es eine Leitlinie zur IT-Sicherheit?
In einer Leitlinie definiert die Leitung verbindliche IT-Sicherheitsziele und übernimmt ausdrücklich die eigene Verantwortung für die IT-Sicherheit.
Gibt es einen IT-Sicherheitsbeauftragten?
Ein IT-Sicherheitsbeauftragter berät die Leitung in Fragen der IT-Sicherheit, erstellt/überprüft Sicherheitskonzepte, koordiniert deren Umsetzung, sensibilisiert und schult Mitarbeiter.
Wurde der IT-Sicherheitsbeauftragte angemessen geschult?
Werden IT-Sicherheitserfordernisse bei der Planung von Netzwerkerweiterungen, Neuanschaffungen von IT-Systemen, Software und IT-Dienstleistungsverträgen, frühzeitig berücksichtigt?
Sind die relevanten gesetzlichen Rahmenbedingungen bekannt und werden diese bei der Planung und Umsetzung der Sicherheitsmaßnahmen beachtet?
(z.B. DSGVO, IT-Sicherheitsgesetz (KRITIS), KonTraG, GoBD, KWG, TMG, ...)
Sind die bestehenden Sicherheitsregelungen und Zuständigkeiten allen betroffenen Mitarbeitern bekannt?
Werden jedem (neuen) Mitarbeiter alle relevanten Richtlinien und Regelungen ausgehändigt oder auf andere Weise (z.B. online) verfügbar gemacht?
Werden Mitarbeiter regelmäßig (min. jährlich) auf die Einhaltung von Sicherheitsregelungen sensibilisiert/geschult?
Wissen alle Mitarbeiter, wie sie sich bei einem Sicherheitsvorfall (z.B. Virenbefall) zu verhalten haben?
Gibt es Checklisten für die Einstellung und das Ausscheiden von Mitarbeitern?
Zur Einrichtung und Entzug von Berechtigungen, Passwörtern, Schlüsseln, Security-Card, ...
Gibt es ein grundlegendes Konzept zu Schutz vor Schadsoftware?
Schutz vor Viren, (Verschlüsselungs-)Trojaner, Maleware, ...
Werden Sicherheitsmaßnahmen regelmäßig überprüft?

Datenschutz

Frage Ja Teilw. Nein
Ist ein Datenschutzbeauftragter bestellt oder ist der Leitung bewusst, das sie diese Funktion übernimmt, wenn (bei weniger als 9 Mitarbeitern) kein DSB bestellt ist?
Ist der Datenschutzbeauftragte (oder die Leitung) angemessen geschult?
Wird der Datenschutzbeauftragte (oder die Leitung) in die Entscheidungsprozesse für die Festlegung der Sicherheitsmaßnahmen eingebunden?
Sind alle Beschäftigten auf das Datengeheimnis i.S.d. § 53 BDSG verpflichtet worden?
Werden auch externe Mitarbeiter (z.B. Dienstleister, Reinigungskräfte, Werkstudenten u.ä.) auf das Datengeheimnis verpflichtet?
Liegt ein vollständiges und aktuelles Verzeichnis der Verarbeitungstätigkeiten vor?
Ist geregelt welche Daten erfasst werden dürfen, wer Zugriff bekommt, wie sie verarbeitet werden dürfen (Zweckbindung) und wann sie gelöscht werden müssen?
Werden die Mitarbeiter regelmäßig (z.B. jährlich) zu Datenschutzthemen geschult?
Gibt es eine Übersicht aller Dienstleister/Lieferanten, die entweder Daten im Auftrag des Unternehmens verarbeiten oder IT-Systeme warten und pflegen?
Gibt es für diese Auftragnehmer entsprechende Verträge zur Auftragsdatenverarbeitung?
Werden Auftragnehmer bei einer Auftragsdatenverarbeitung vor Vertragsschluss im Hinblick auf die getroffenen IT-Sicherheitsmaßnahmen kontrolliert?
Gibt es eine Regelung zur privaten Nutzung von Email und Internet im Unternehmen?
Existiert im Unternehmen eine Stelle, die die Rechte der Betroffenen (z.B. Auskunfts- oder Löschersuchen) bearbeitet?

Gebäude und Räume

Frage Ja Teilw. Nein
Gibt es ein grundlegendes Gebäudemanagement das Gefahren für das Gebäude managed (Einbruchsschutz, Brandschutz, Blitzschutz, Hochwasserschutz,…)?
Gibt es ein Konzept zur Zutrittskotrolle (Schlüsselkonzept, Zutrittskontrollsystem) zumindest für sensible Bereiche (Serverraum, Administratoren Büros, Arbeitsplätze an denen sensible Daten verarbeitet werden)?
Sind Kabelführungen (Strom und Netzwerk) fachgerecht verlegt und dokumentiert?
Sind Server- und Technikräume bezüglich Lüftung, Klima, Zutrittsschutz, Brandfrüherkennung, ausreichend dimensioniert und ausgestattet?
Sind Stromanschlüsse für Rechenzentren, Server- oder Technikräume sinnvoll aufgeteilt/separiert und ausreichendend dimensioniert?

Netzwerk

Frage Ja Teilw. Nein
Gibt es ein dokumentiertes Sollkonzept zur Netzinfrastruktur, das Sicherheitsaspekte wie Kapazitätsplanung, Segmentierung in Schutzbereiche, sichere Netzübergänge berücksichtigt?
Gibt es eine aktuelle Netzdokumentation (Netzplan, Verkabelung, Segmentierung, Konfiguration von Netzkomponenten, Policies)?
Sind alle Netzkomponenten zutrittsgeschützt eingebaut (z.B. in abschließbaren Technikräume oder Etagenracks)?
Ist das Netz physisch oder logisch in unterschiedliche Sicherheitsbereiche (mindestens: Server, Clients, DMZ/öffentlicher Bereich) unterteilt?
Sind die Sicherheitsbereiche ausreichend (z.B. durch eine Firewall) geschützt und gibt es klar definierte Kommunikationsregeln (Policies)?
Sind Anbindungen an Fremdnetze (z.B. Internet) ausreichend geschützt und werden eingehende Verbindungen überwacht (z.B. Sicherheitsgateway / ALG)?
Werden Netzkomponenten nur über sichere Protokolle von einer zentralen Stelle (Netzmanagementsystem) administriert und überwacht?
Sind unsichere und nicht benötigte Protokolle im Netz deaktiviert?
Werden auf allen Netzkomponenten und Firewalls aktuelle Betriebssysteme eingesetzt?
Werden Netzkomponenten und Firewalls regelmäßig gepached?
Werden Konfigurationsdaten von Netzkomponenten und Firewalls regelmäßig gesichert?
Werden die Konfigurationen und Konfigurationsänderungen von Netzkomponenten und Firewalls überwacht?
Bei Einsatz von WLAN: Gibt es ein WLAN-Konzept das die Nutzung von WLANs regelt (Segmentierung, Authentisierung, Verschlüsselung)?

Server

Frage Ja Teilw. Nein
Werden alle Server in gesicherten Räumlichkeiten betrieben, zu denen nur autorisiertes Personal Zutritt hat?
Können nur erfolgreich authentisierte Benutzer auf die Server zugreifen (ausgenommen öffentliche (Web-)Server)
Werden nur aktuelle und vom Hersteller noch gepflegte Betriebssysteme eingesetzt?
Verfügen alle Server über ein zuverlässiges Patchmanagement?
Verfügen alle Server über einen aktuellen Virenschutz der regelmäßig (täglich) aktualisiert wird?
Sind alle nicht benötigten Dienste und Anwendungen auf den Servern deinstalliert oder deaktiviert?
Sind alle von Fremdnetzen erreichbaren Server durch eine Firewall geschützt?
Werden sicherheitsrelevante Ereignisse (fehlerhafte Anmeldeversuche, Konfigurationsänderungen, ...) protokolliert?
Werden die Protokolle mit sicherheitsrelevanten Ereignissen regelmäßig automatisiert oder manuell auf Auffälligkeiten überprüft?

Clients

Frage Ja Teilw. Nein
Sind alle Mitarbeiter darauf verpflichtet bei Verlassen des Arbeitsplatzes ihren Rechner zu sperren und wird dies kontrolliert?
Melden sich alle Mitarbeiter nur mit persönlichen Accounts an (keine Gruppen oder Funktionsaccounts)?
Ist der Bootvorgang der Clients abgesichert, so das keine fremden Bootmedien verwendet werden können?
Werden nur aktuelle und vom Hersteller noch gepflegte Betriebssysteme eingesetzt?
Verfügen alle Clients über ein zuverlässiges Patchmanagement?
Verfügen alle Clients über einen aktuellen Virenschutz der regelmäßig (täglich) aktualisiert wird?
Werden sicherheitsrelevante Ereignisse (fehlerhafte Anmeldeversuche, Konfigurationsänderungen, ...) protokolliert?

Mobile Geräte

Mobile Geräte sind z.B. Notebooks, Tablets, Smartphones, aber auch USB-Sticks und mobile Festplatten. Diese Geräte sind insofern besonders gefährdet, da sie durch ihren mobilen Einsatz leichter verloren gehen oder gestohlen werden können.

Frage Ja Teilw. Nein
Gibt es eine Richtlinie für Benutzer mobiler Geräte, die Vorgaben zur mobilen Nutzung (Homeoffice, Reisen, etc) macht?
Werden auf allen Mobilgeräten nur aktuelle Betriebssysteme und Anwendungen genutzt?
Werden alle Daten auf mobilen Geräten verschlüsselt?
Sind alle Mobilgeräte mit einem Zugriffsschutz ausgestattet?
Sind alle Mitarbeiter darauf verpflichtet Mobilgeräte zu sperren oder abzuschalten wenn diese nicht genutzt werden?
Ist sichergestellt, dass auch Notebooks und andere Mobilgeräte regelmäßig aktuelle Patches und Updates erhalten?
Verfügen alle Notebooks und Mobilgeräte über einen aktuellen Virenschutz der regelmäßig (täglich) aktualisiert wird?
Sind alle Mitarbeite über das Verhalten bei Verlust oder Diebstahl von Mobilgeräten Informiert?

Anwendungen

Frage Ja Teilw. Nein
Gibt es eine Richtlinie mit Vorgaben zur Informationssicherheit bei der Entwicklung eigener Anwendungen?
Werden Sicherheits- und Datenschutzaspekte bei der Auswahl und Beschaffung von Anwendungen frühzeitig berücksichtigt?
Gibt es ein Testkonzept für die Einführung neuer Anwendungen oder neuer Versionen bestehender Anwendungen?

Notfallvorsorge

Frage Ja Teilw. Nein
Sind betriebs- und sicherheitsrelevante Passwörter sicher hinterlegt, so dass diese im Notfall (nur berechtigten) Personen zugänglich sind?
Gibt es ein Datensicherungskonzept für alle relevanten Informationen (Daten, Konfigurationen, Einstellungen, ..)?
Werden kritische Daten zusätzlich georedundant (an einem anderem Ort) gesichert bzw. gelagert (anderer Standort, vertrauenswürdiger Clouddienstleister, Bankschließfach, ..)?

Auswertung

Die Antworten auf die Fragen geben einen groben Überblick (Quickcheck) über den Stand der Informationssicherheit in der betrachteten Organisation. Sind alle Fragen weitgehend mit "Ja" beantwortet, kann davon ausgegangen werden, dass grundlegende Sicherheitsanforderungen für einen ordnungsgemäßen IT-Betrieb erfüllt sind.

Dieser Quickcheck kann jedoch nicht alle Aspekte der Informationssicherheit abdecken. Eine umfassende Sicht ermöglicht nur ein Vorgehen gemäß eines etablierten Standards (z.B. ISO 27001, CISIS12 oder BSI IT-Grundschutz).

Weiteres Vorgehen

Um ein detailliertes Bild zu erhalten und sicherzustellen, dass alle für einen ordnungsgemäßen IT-Betrieb erforderlichen Maßnahmen ergriffen wurden, bietet sich z.B. ein Vorgehen nach BSI IT-Grundschutz (Basisabsicherung) oder CISIS12 an.