Checkliste zur Cybersecutity für kleine und mittlere Einrichtungen

Checkliste als PDF herunterladen

1 Einleitung

1.1 Zielsetzung

Die Absicherung von IT-Infrastrukturen ist eine komplexe Aufgabe, die einen methodischen Ansatz erfordert. Der damit verbundene Aufwand ist gerade für kleine und mittlere Einrichtungen oft nicht zu leisten. Die folgende Themenliste stellt daher eine Auswahl von besonders relevanten Handlungsfelder zusammen und verweist auf entsprechende Empfehlungen aus den Standards des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Je Themenfeld werden einige ausgewählte Anforderungen benannt, durch deren Umsetzung maßgeblich die Informationssicherheit positiv beeinfluss werden kann. Die Themenliste kann ein methodisches IT-Sicherheitskonzept nicht ersetzen, gibt aber dort eine Umsetzungshilfe, wo ein Sicherheitskonzept nicht vorliegt oder nicht praktikabel realisierbar ist.

Das BSI hat zu den nachfolgend aufgeführten Themenfeldern IT-Grundschutz-Bausteine verfasst. Jeder dieser Bausteine enthält eine kurze Beschreibung der jeweiligen Thematik und des Ziels, das mit der Umsetzung des Bausteins erreicht werden soll. Zudem gibt es einen Überblick über die spezifischen Gefährdungen des betrachteten Themengebietes. Schwerpunkt eines jeden Bausteins sind die Sicherheitsanforderungen. Diese gliedern sich in Basis- und Standard-Anforderungen sowie Anforderungen mit erhöhtem Schutzbedarf. Für die Umsetzung der Anforderungen dienen die drei Abstufungen als Orientierung. Basis-Anforderungen stellen grundlegende Sicherheitsanforderungen dar, deren Umsetzung als essenziell für die Informationssicherheit eingeschätzt wird. Im nächsten Schritt sollten Standard-Anforderungen erfüllt werden. Die Umsetzung von Anforderungen für hohen Schutzbedarf sollte je nach Schutzbedarf der Geschäftsprozesse im Unternehmen umgesetzt werden. Als ergänzende Hilfestellung hat das BSI mit Buchstaben gekennzeichnet, auf welche Grundwerte die Anforderung maßgeblich hinwirkt (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit).

Zusätzlich zu den Sicherheitsanforderungen gibt es zu einigen Bausteinen des IT-Grundschutz-Kompendiums Umsetzungshinweise. Diese beschreiben, wie die Anforderungen der Bausteine in der Praxis erfüllt werden können, und enthalten dafür passende Sicherheitsmaßnahmen mit detaillierten Beschreibungen, die auf dem Erfahrungsschatz und den Best Practices des BSI und von IT-Grundschutz-Anwendern basieren.

1.2 Zielgruppe

Die folgende Themenliste richtet sich insbesondere an kleine und mittlere Unternehmen (KMU), für die aufgrund der überschaubaren Größe die Einführung eines kompletten Informationssicherheitsmanagementsystems (ISMS) unverhältnismäßig erscheint. Hierbei gilt zu berücksichtigen, dass auch für KMU die Einführung eines ISMS erforderlich sein kann, z. B. aufgrund vertraglicher Anforderungen oder des Schutzbedarfes von Geschäftsprozessen. Dabei umfasst Schutzbedarf die Anforderungen hinsichtlich Vertraulichkeit, Verfügbarkeit und Integrität der Geschäftsprozesse und dazu erforderlichen Assets

2 Anforderung an die Organisation

2.1 Organisationsstrukturen für die Informationssicherheit

Unabhängig vom Aufbau eines Informationssicherheitsmanagementsystems sollten grundlegende Strukturen für die Wahrung der Informationssicherheit im Unternehmen geschaffen werden. Es sollten Verantwortlichkeiten und Kompetenzen definiert werden. Im Rahmen dessen sollten Zielsetzungen für die Informationssicherheit festgelegt werden. Um diese erreichen zu können, sollte geprüft und definiert werden, in welche Prozesse und Gremien die Informationssicherheit als fester Bestandteil eingebettet und die Verantwortlichen eingebunden werden sollten.

Referenz

Anforderung

Umgesetzt

ISMS.A1

Übernahme der Gesamtverantwortung für Informationssicherheit und Unterstützung der Informationssicherheit durch die Leitungsebene

ISMS.A2

Festlegung und Bekanntmachung der Sicherheitsziele und -strategie

ISMS.A3

Erstellung und Bekanntmachung einer Leitlinie zur Informationssicherheit

ISMS.A4

Benennung und Einbindung eines Informationssicherheitsbeauftragten

ISMS.A6

Aufbau einer geeigneten und angemessenen Organisationsstruktur für Informationssicherheit

ISMS.A9

Integration der Informationssicherheit in wesentliche organisationsweite Abläufe, Gremien und Projekte


Weiterführende Informationen:

2.2 Einbindung und Sensibilisierung der Mitarbeiter

Die Mitarbeiter sind ein notwendiger und bedeutender Erfolgsfaktor, um Informationssicherheit erfolgreich und effizient zu verwirklichen. Daher müssen sich alle Mitarbeiter über ihre Rolle und Ihren Einfluss auf die Informationssicherheit bewusst sein. Durch die Vermittlung der Sicherheitsziele sowie durch die Sensibilisierung für Gefahren für die Institution sollte ein Sicherheitsbewusstsein (Awareness) bei den Mitarbeitern geschaffen werden. Die Wirkung von Sicherheitsmaßnahmen sollte erläutert werden, um die Bereitschaft der Mitarbeiter für die Mitwirkung und Umsetzung zu gewinnen.

Referenz

Anforderung

Umgesetzt

ORP.3.A6

Durchführung von Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit für die Mitarbeiter (z. B. Umgang mit vertraulichen Informationen, Sicherheit beim mobilen Arbeiten, Warnung vor Social Engineering und weitere Gefahren)

ORP.3.A3

Einweisung von Mitarbeitern in den sicheren Umgang mit IT-Geräten

ORP.3.A2

Bekanntmachung von Ansprechpartnern für Sicherheitsfragen

ORP.1
INF.9.A8

Erstellung von Arbeitsanweisungen/Richtlinien für die Mitarbeiter für spezielle Themen. z. B. Umgang mit betriebsfremden Personen oder mobiles Arbeiten

ORP.2

Verpflichtung der Mitarbeiter zur Einhaltung der Sicherheitsvorgaben


Weiterführende Informationen:

2.3. Sicherheits- und Notfallmanagement

Um bei Eintritt von Ereignissen die Schäden zu begrenzen und weitere Schäden zu vermeiden, müssen diese frühzeitig erkannt und effizient bearbeitet werden. Es sollten sowohl Verfahren zur Meldung und Behandlung von Sicherheitsvorfällen als auch zur Bewältigung von Notfällen etabliert werden.

Unter einem Sicherheitsvorfall werden generell alle Ereignisse gefasst, welche die Grundwerte Verfügbarkeit, Vertraulichkeit und Integrität von Informationen gefährden.

Als Notfall bezeichnet das BSI alle Schadensereignisse, bei dem Prozesse bzw. Ressourcen nicht vorgesehen funktionieren und nicht innerhalb der tolerierbaren Ausfallzeit wiederhergestellt werden können. Der Geschäftsbetrieb ist soweit beeinträchtigt, dass eine Behebung innerhalb des normalen Tagesgeschäfts nicht mehr möglich ist. Zudem ist mit hohen bis sehr hohen Schäden zu rechnen.

Referenz

Anforderung

Umgesetzt

DER.2.1.A1

Definition von Sicherheitsvorfall und Notfall für das Unternehmen

DER.2.1.A3/8 DER.4.A5

Aufbau geeigneter Organisationsstrukturen zur Behandlung von Sicherheitsvorfällen, Notfällen und Krisen (inkl. Definition von Kompetenzen

DER.2.1.A15
DER.4.A8

Sensibilisierung der Mitarbeiter für Sicherheitsvorfälle bzw. Notfälle

DER.2.1.A4
DER.4.A8

Definition und Bekanntmachung von Meldewegen für potentielle und eingetretene Sicherheitsvorfälle bzw. Notfälle (inkl. Pflege von Alarmierungslisten

DER.4.A16

Vereinbarung von Service Level Agreements und Meldewegen mit Dienstleistern


Weiterführende Informationen:

 

3 Anforderungen an den IT-Betrieb

3.1 Sichere IT-Administration

Die sichere und kontinuierliche Administration von IT-Systemen und -Komponenten ist für den IT-Betrieb grundlegend. Die Systemadministratoren richten IT-Systeme und Anwendungen ein, beobachten den Betrieb und reagieren mit Maßnahmen, die die Funktion, die Leistungsfähigkeit und Sicherheit der Systeme erhalten. Um diese Aufgaben wahrnehmen zu können, verfügen Administratoren über sehr weitreichende Berechtigungen und haben damit maßgeblichen Einfluss auf die Informationssicherheit. Dementsprechend bedarf es klarer Regelungen und Sicherheitsmaßnahmen, um die Systemadministration vor unbefugten Zugriffen abzusichern.

Referenz

Anforderung

Umgesetzt

OPS.1.1.2.A1

Sorgfältige Personalauswahl von IT Administratoren hinsichtlich Sicherheitsanforderungen und fachlicher Qualifikation

OPS.1.1.2.A2

Definition von Vertretungsregelungen für den IT-Betrieb

OPS.1.1.2.A3 und A4

Geregelter Ein- und Austritt von Administratoren, inkl. Rechtevergabe bzw. -entzug und Weitergabe von Wissen

OPS.1.1.2.A7

Definition von Regeln für die IT-Administration, insbesondere Befugnisse, Aufgaben und Pflichten

OPS.1.1.2.
A12 und A13

Vorgaben für Wartungs- und Reparaturarbeiten sowie Fernzugriffe


Weiterführende Informationen:

3.2 Datensicherung

Um die Verfügbarkeit von Informationen sicherzustellen, sind regelmäßige Datensicherungen zu erstellen. Eine Datensicherung soll gewährleisten, dass durch einen redundanten Datenbestand der IT-Betrieb kurzfristig wiederaufgenommen werden kann, wenn Teile des operativen Datenbestandes verloren gehen, z. B. durch defekte Hardware, Schadsoftware oder Verlust eines Gerätes.

Referenz

Anforderung

Umgesetzt

CON.3.A2

Festlegung der Verfahrensweise (Art, Häufigkeit, Zeitpunkt) der Datensicherung auf Basis der Anforderungen an die Verfügbarkeit

CON.3.A5

Durchführung regelmäßiger Datensicherungen

CON.3.A.10

Verpflichtung der Mitarbeiter Datensicherungen durchzuführen, falls Daten lokal gespeichert werden

CON.3.A12/
A13

Angemessener Schutz der Datensicherungen, z. B. Verschlüsselung vertraulicher Daten und Schutz vor physischer Zerstörung


Weiterführende Informationen:

3.3 Patch- und Changemanagement

Stetig steigende Anforderungen an IT-Systeme sowie Sicherheitslücken und Störungen erfordern zeitnahe Anpassungen und Aktualisierungen der IT-Systeme. Ein fehlendes oder vernachlässigtes Patch- und Änderungsmanagement führt schnell zu Fehlern oder Lücken in der Sicherheit einzelner Komponenten und damit zu möglichen Angriffspunkten. Aufgabe des Patch- und Änderungsmanagements ist es allgemein, verändernde Eingriffe in Anwendungen, Infrastruktur, Dokumentationen, Prozessen und Verfahren steuer- und kontrollierbar zu gestalten.

Referenz

Anforderung

Umgesetzt

OPS.1.1.3.A2

Festlegung von Verantwortlichkeiten für das Patch- und Changemanagement

OPS.1.1.3.A3

Konfiguration von Autoupdate-Mechanismen

OPS.1.1.3.A4bis A9

Etablierung eines Prozesses für das Patch- sowie Changemanagement (Planung, Abstimmung Anforderungen, Genehmigungs-, Test- und Freigabeverfahren etc.)

OPS.1.1.3.A11

Dokumentation von Patchs und Änderungen (Changes)


Weiterführende Informationen:

3.4 Schutz vor Schadprogrammen und Angriffen

Schadprogramme sind Programme, die in der Regel ohne Wissen und Einwilligung des Benutzers oder Besitzers eines IT-Systems schädliche Funktionen auf diesem ausführen. Diese Funktionen können ein breites Feld abdecken, das von Spionagemöglichkeiten über Erpressung (sogenannte Ransomware) bis hin zur Sabotage und Zerstörung von Informationen oder gar Geräten reicht.

Schadprogramme können grundsätzlich auf allen Betriebs- und IT-Systemen auftreten. Dazu gehören neben klassischen IT-Systemen wie Clients und Server auch mobile Geräte wie Smartphones. Netzkomponenten wie Router, Industriesteuerungsanlagen und sogar IoT-Geräte wie vernetzte Kameras sind heutzutage ebenfalls vielfach durch Schadprogramme gefährdet.

Referenz

Anforderung

Umgesetzt

OPS.1.1.4.A3 bis A6

Auswahl, Einsatz und Pflege von Viren-Schutzprogrammen für Endgeräte, Für Gateways und IT-Systeme zum Datenaustausch

OPS.1.1.4.A7

Sensibilisierung der Mitarbeiter für den sicheren Umgang mit IT, inkl. regelmäßige und anlassbezogene Warnung vor Gefahren wie SPAM-Mails

CON.4

Prüfung der Integrität von Software und Daten sowie Verwendung sicherer Quelle

OPS.1.1.3

Regelmäßiges einspielen von Patches und Updates


Weiterführende Informationen:

3.5 Protokollierung

Für einen verlässlichen IT-Betrieb sollten IT-Systeme und Anwendungen alle oder ausgewählte betriebs- und sicherheitsrelevanten Ereignisse protokollieren, d.h. sie automatisch speichern und für die Auswertung bereitstellen. Eine Protokollierung wird in vielen Institutionen eingesetzt, um einerseits Hard- und Softwareprobleme sowie Ressourcenengpässe zeitnah entdecken zu können und um andererseits Sicherheitsprobleme und Angriffe anhand von Protokollierungsdaten nachvollziehen zu können. Protokolldaten können im Zuge dessen durch forensische Untersuchungen als Beweise gesichert werden.

Referenz

Anforderung

Umgesetzt

OPS.1.1.5.A3

Konfiguration der Protokollierung auf System- und Netzebene

OPS.1.1.5.A2 und A9

Regelmäßige Auswertung der Protokolldaten (Definition der Verantwortlichkeiten hierfür)

OPS.1.1.5.A5

Einhaltung der rechtlichen Rahmenbedingungen z. B. Mitbestimmungsrechte der Mitarbeitervertretung

OPS.1.1.5.A10

Sicherstellung des Zugriffsschutzes und der angemessenen Aufbewahrung (Archivierung) von Protokolldaten


Weiterführende Informationen:

3.6 Nutzer- und Rechte-Management

Benutzer oder auch IT-Komponenten, die auf Ressourcen einer Institution zugreifen, müssen zweifelsfrei identifiziert und authentisiert werden. Beim Berechtigungsmanagement geht es darum, ob und wie Benutzer oder IT-Komponenten auf Informationen oder Dienste zugreifen und diese benutzen dürfen, ihnen also basierend auf dem Benutzerprofil Zutritt, Zugang oder Zugriff zu gewähren oder zu verweigern ist. Berechtigungsmanagement bezeichnet die Prozesse, die für Zuweisung, Entzug und Kontrolle der Rechte erforderlich sind. Generell sollten nur erforderliche Rechte vergeben werden „Need-to-know-Prinzip“.

Referenz

Anforderung

Umgesetzt

ORP.4.A2

Etablierung eines Prozesses für Einrichtung, Änderung und Entzug von Berechtigungen

ORP.4.A5 bis A7

Regelung der Vergabe von Zugriffs-, Zugangs- und Zutrittsberechtigungen

ORP.4.A8

Definition von Vorgaben zum Passwortgebrauch


Weiterführende Informationen:

3.7 Kryptografie

Je nach Anforderungen an die Vertraulichkeit von Informationen sollten Verschlüsselungsverfahren eingesetzt werden. Beispielsweise kann der Bedarf bestehen E-Mail-Kommunikation oder Festplatten zu verschlüsseln. Bei der Auswahl der Verfahren sollte der aktuelle Stand der Technik berücksichtigt werden. Hierzu bietet das Bundesamt für Sicherheit in der Informationstechnik umfangreiche Hilfestellungen, von denen einige unter weiterführende Informationen aufgeführt sind.

Referenz

Anforderung

Umgesetzt

CON.1.A6

Prüfung des Bedarfs für Verschlüsselung (Kryptografie)

CON.1.A1

Auswahl und Umsetzung geeigneter kryptografischer Verfahren

CON.1.A2 und A4

Geeignetes Schlüsselmanagement und Datensicherung bei Einsatz von kryptografischer Verfahren


Weiterführende Informationen:

3.8 Cloud-Nutzung

Cloud Dienstleistungen umfasst mittlerweile das komplette Spektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur (z. B. Rechenleistung und Speicherplatz), Plattformen und Software. Die IT-Dienste können bedarfsgerecht, skalierbar und flexibel genutzt und je nach Funktionsumfang, Nutzungsdauer und Anzahl der Benutzer abgerechnet werden. Gleichzeitig bedarf es einer genauen Abwägung und Strategie, welche Dienste unter welchen Rahmenbedingungen über Cloud Computing bezogen werden sollen. Hierbei gilt es zum einen Anforderungen des IT-Betriebs zu berücksichtigen und zu regeln, als auch rechtliche und vertragliche Vorgaben.

Referenz

Anforderung

Umgesetzt

OPS.2.2.A1

Erstellung einer Cloud-Nutzungs-Strategie unter Beteiligung aller Mitwirkenden Akteure (IT-Betrieb, Management, Datenschutz, ISB etc.)

OPS.2.2.A4

Festlegung von Verantwortungsbereichen und Schnittstellen

OPS.2.2.A8 und A9

Sorgfältige Auswahl und Vertragsgestaltung mit einem Cloud-Dienste-Anbieter

OPS.2.2.A5 und A10

Planung und Umsetzung einer sicheren Migration zu einem Cloud-Dienst

Weiterführende Informationen:

 

Kontakt

HiSolutions AG
Bouchéstraße 12
12435 Berlin

info@hisolutions.com
www.hisolutions.com

Fon +49 30 533 289 0
Fax +49 30 533 289 900

 

Niederlassung Frankfurt am Main
Mainzer Landstraße 50
60325 Frankfurt am Main

Fon +49 30 533 289 0>
Fax +49 30 533 289 900

Niederlassung Köln
Theodor-Heuss-Ring 23
50688 Köln

Fon +49 221 77 109 550
Fax +49 30 533 289 900

Niederlassung Bonn
Heinrich-Brüning-Straße 9 53113 Bonn

Fon +49 228 52 268 175
Fax + 49 30 533 289-900

Niederlassung Nürnberg
Zeltnerstraße 3
90443 Nürnberg

Fon +49 911 8819 72 63
Fax +49 911 8819 70 00

Rechtliche Hinweise

© 2019
Veröffentlichung, Nachdruck und Weitergabe - gleich in welcher Form, ganz oder teilweise - sind nur mit Zustimmung von HiSolutions zulässig.

Jetzt teilen: