NIS2 Compliance-Check

Überprüfen Sie die Informationssicherheitsmaßnahmen Ihres Unternehmens – von Risikoanalysen bis zur sicheren Kommunikation.

Hat Ihr Unternehmen Maßnahmen zur Informationssicherheit implementiert, die auf einer Risikoanalyse basieren und dabei die möglichen gesellschaftlichen und wirtschaftlichen Auswirkungen eines Vorfalls berücksichtigen?

mehr Infos

Hat Ihr Unternehmen alle Risikomanagement-Maßnahmen dokumentiert, die zur Bewältigung identifizierter Sicherheitsrisiken ergriffen wurden?

mehr Infos

Hat Ihr Unternehmen Maßnahmen umgesetzt, die auf einem Allgefahrenansatz basieren und den Stand der Technik berücksichtigen?

mehr Infos

Hat Ihr Unternehmen ein Informationssicherheits-Managementsystem (ISMS) implementiert und werden darin alle relevanten Aspekte der IT-Sicherheit kontinuierlich geplant, umgesetzt, überwacht und verbessert?

mehr Infos

Hat Ihr Unternehmen Prozesse und Maßnahmen implementiert, um Sicherheitsvorfälle effektiv zu erkennen, zu melden und zu bewältigen?

mehr Infos

Hat Ihr Unternehmen Maßnahmen implementiert, um im Falle eines sicherheitsrelevanten Vorfalls den kontinuierlichen Betrieb aufrechtzuerhalten und die wesentlichen Betriebsfunktionen wiederherzustellen?

mehr Infos

Hat Ihr Unternehmen ein Backup-Managementsystem implementiert, das sicherstellt, dass regelmäßig Sicherungskopien wichtiger Daten erstellt und diese sicher aufbewahrt werden?

mehr Infos

Hat Ihr Unternehmen Maßnahmen implementiert, um die Sicherheit der Lieferkette zu gewährleisten und sicherzustellen, dass auch Ihre Lieferanten die erforderlichen Sicherheitsanforderungen erfüllen?

mehr Infos

Stellt Ihr Unternehmen sicher, dass beim Einkauf von IT-Dienstleistungen, Produkten und Komponenten Sicherheitsanforderungen festgelegt und geprüft werden?

mehr Infos

Hat Ihr Unternehmen Sicherheitsanforderungen in den Entwicklungsprozess von IT-Systemen und -Software integriert und werden diese kontinuierlich überprüft?

mehr Infos

Hat Ihr Unternehmen Prozesse implementiert, um die Sicherheit bei der Wartung von IT-Systemen zu gewährleisten und regelmäßig zu überprüfen?

mehr Infos

Hat Ihr Unternehmen Prozesse implementiert, um Schwachstellen in IT-Systemen systematisch zu identifizieren, zu managen und offenzulegen, falls erforderlich?

mehr Infos

Hat Ihr Unternehmen regelmäßige Prozesse implementiert, um die Wirksamkeit der Informationssicherheitsmaßnahmen zu überwachen, zu messen und zu bewerten?

mehr Infos

Hat Ihr Unternehmen Maßnahmen implementiert, um das Bewusstsein der Mitarbeiter für Informationssicherheit zu schärfen und regelmäßige Schulungen zur Cyberhygiene durchzuführen?

mehr Infos

Stellt Ihr Unternehmen sicher, dass alle Mitarbeiter regelmäßig Schulungen zur Informationssicherheit erhalten, um ihre Kompetenzen und ihr Wissen auf dem neuesten Stand zu halten?

mehr Infos

Hat Ihr Unternehmen Kryptografieverfahren und Verschlüsselungstechniken implementiert, um die Vertraulichkeit, Integrität und Verfügbarkeit von sensiblen Daten zu gewährleisten?

mehr Infos

Hat Ihr Unternehmen Maßnahmen implementiert, um sicherzustellen, dass alle Mitarbeiter während des gesamten Beschäftigungszyklus (Einstellung, Beschäftigung und Beendigung) die Informationssicherheitsanforderungen erfüllen?

mehr Infos

Hat Ihr Unternehmen ein Zugriffskontrollsystem implementiert, das sicherstellt, dass nur autorisierte Personen Zugang zu sensiblen Informationen und IT-Systemen haben?

mehr Infos

Hat Ihr Unternehmen ein effektives Asset-Management-System implementiert, um die Sicherheitsanforderungen für alle physischen und informationstechnischen Vermögenswerte (Assets) zu gewährleisten?

mehr Infos

Hat Ihr Unternehmen Multi-Faktor-Authentifizierung (MFA) und, wo sinnvoll, Single-Sign-On (SSO) für den sicheren Zugriff auf IT-Systeme und Anwendungen implementiert?

mehr Infos

Hat Ihr Unternehmen Maßnahmen implementiert, um die Sicherheit von Sprach-, Video- und Textkommunikation zu gewährleisten?

mehr Infos

Hat Ihr Unternehmen ein gesichertes Notfallkommunikationssystem implementiert, das im Falle eines Ausfalls der primären Kommunikationsmittel aktiviert werden kann?

mehr Infos

Vielen Dank, dass Sie den Sicherheits-Checkup für die NIS2-Compliance ausgefüllt haben. Um Ihnen eine Auswertung Ihrer Antworten zukommen zu lassen, geben Sie bitte Ihre Kontaktdaten in das untenstehende Formular ein.

Wir werden Ihnen die Ergebnisse inklusive detaillierter Handlungsempfehlungen zur Optimierung Ihrer Informationssicherheit im Anschluss auswerten.

Risikoanalysen bilden die essenzielle Grundlage für die Gewährleistung der Informationssicherheit. Daher sollte im Rahmen eines Informationssicherheits-Managementsystems (ISMS) klar definiert werden, wie diese Analysen durchzuführen sind. Die Umsetzung sollte auf anerkannten Standards basieren, wie beispielsweise ISO 31000, ISO 27005 oder den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Das gewählte Verfahren muss im Detail beschreiben, wie Risiken identifiziert, bewertet und behandelt werden. Dabei ist insbesondere festzulegen, wer berechtigt ist, Risiken zu akzeptieren. Hohe Risiken sollten ausschließlich von der obersten Leitungsebene akzeptiert werden können.

Für die Identifikation von Bedrohungen kann der Katalog der elementaren Gefährdungen des BSI genutzt werden, der den umfassenden All-Gefahren-Ansatz verfolgt. Bei der Bewertung der Auswirkungen einer Gefährdung fordert die NIS2-Richtlinie, neben den potenziellen Schäden für die eigene Organisation auch die gesellschaftlichen Folgen zu berücksichtigen – insbesondere, wenn die Organisation essenzielle Versorgungsleistungen erbringt.

Zu Beginn der Risikoanalyse ist die Basis-IT-Infrastruktur zu bewerten. Hierzu gehören unter anderem Netzwerke, Virtualisierungslösungen, Standard-Serversysteme sowie Netzwerkverwaltungsdienste wie Active Directory. Im Anschluss sollten die zentralen Anwendungen und die darin verarbeiteten Informationen einer dedizierten Betrachtung unterzogen werden.

Für eine effektive Risikobehandlung ist es entscheidend, dass Maßnahmen verbindlich festgelegt und deren Umsetzung mit klaren Fristen versehen wird. Die Einhaltung dieser Fristen sollte regelmäßig kontrolliert werden.

Zur Unterstützung eines strukturierten und effizienten Risikomanagements wird der Einsatz geeigneter Tools empfohlen. Wir beraten Sie gerne und geben Ihnen Empfehlungen für die Auswahl des passenden Werkzeugs.

Die Konzepte zur IT-Sicherheit sollten auf einem risikobasierten Ansatz beruhen, der aus einem strukturierten Risikomanagement abgeleitet wird. Ihre Umsetzung erfolgt idealerweise im Rahmen eines Informationssicherheitsmanagementsystems (ISMS).

Risikominimierung durch Maßnahmen nach Stand der Technik

Die Reduzierung von Risiken sollte durch den Einsatz von Maßnahmen erfolgen, die dem Stand der Technik entsprechen, beispielsweise:

  • Organisatorische Maßnahmen (Verantwortlichkeiten, Regelungen, Prozesse, Klassifizierung etc.)
  • Personenbezogene Maßnahmen (Personalmanagement, Berechtigungsmanagement, Schulungen)
  • Physische Sicherheit (Zutrittsschutz, Verhinderung von Sabotage etc.)
  • Technische Maßnahmen (z.B. Endpoint Security, Backup, Protokollierung, Netzwerksegmentierung etc.)

Dynamik des Stands der Technik

Besonders bei den technischen Maßnahmen ist Vorsicht geboten, da sich der Stand der Technik kontinuierlich und rasch weiterentwickelt. Daher ist eine regelmäßige Überprüfung und Anpassung der eingesetzten Technologien notwendig.

Empfehlung: Plattform-Ansatz

Ein Plattform-Ansatz wird empfohlen, da er erhebliche Synergiepotenziale bietet. Dieser Ansatz ermöglicht es, Schulungsmaßnahmen effizient zu bündeln und den operativen Aufwand zu minimieren.

Auswahl eines Markt- und Technologieführers

Um Zukunftssicherheit und Zugang zu modernsten Sicherheitsfunktionen zu gewährleisten, sollte die Wahl auf einen führenden Anbieter am Markt fallen. Dies sichert die kontinuierliche Einhaltung des Stands der Technik und eine langfristige Investitionssicherheit.

Der Aufbau und Betrieb eines Informationssicherheitsmanagementsystems (ISMS) ist eine zentrale Voraussetzung für nachhaltige Informationssicherheit. Während einzelne Maßnahmen auch unabhängig von einem ISMS-Rahmen umgesetzt werden können, ist es entscheidend, die Umsetzung dieser Maßnahmen zu kontrollieren und deren Zielerreichung kontinuierlich zu messen. Ein ISMS sollte sich dabei an einem anerkannten Standard orientieren, der auf die Größe und Komplexität der jeweiligen Organisation abgestimmt ist. Für kleine Unternehmen und Organisationen bieten sich insbesondere die VdS-Richtlinien 10000 sowie die NIS2-Ergänzung VdS 10100 an, die vor allem in deutschsprachigen Ländern etabliert sind. Größere Organisationen greifen in der Regel auf international anerkannte Standards wie ISO 27001 zurück. Zusätzlich sollten je nach Branche auch spezifische Anforderungen geprüft werden, wie beispielsweise die Umsetzung des BSI IT-Grundschutzes.

Die Verantwortung und Koordination der Maßnahmen innerhalb des ISMS erfordert die Benennung eines zentralen Verantwortlichen. Dabei ist auf eine klare Funktionstrennung zu achten, um widersprüchliche Zuständigkeiten zu vermeiden. Es empfiehlt sich, einen internen oder externen Informationssicherheitsbeauftragten (ISB) zu ernennen, der idealerweise als Stabsstelle direkt der obersten Leitung unterstellt ist. Die Unternehmensleitung muss zudem die notwendigen Rahmenbedingungen schaffen, indem sie unabhängige Rollen wie den ISB oder einen Notfall-Manager benennt und mindestens eine Leitlinie zur Informationssicherheit erstellt. Diese Leitlinie sollte die Motivation, die Ziele, die Organisation sowie die Maßnahmen und Regelungen im Bereich der Informationssicherheit klar definieren.

Ein funktionierendes Prozessmanagement ist essenziell für die Wirksamkeit des ISMS. Dazu gehören sorgfältige Dokumentation, klare Verantwortlichkeiten sowie ein integriertes Kontrollsystem, das regelmäßige Überwachung und Bewertung ermöglicht. Gleichzeitig ist ein effektives Aufgaben- und Maßnahmenmanagement notwendig. Dieses umfasst die Zuordnung klarer Verantwortlichkeiten, die Festlegung verbindlicher Fristen, eine regelmäßige Überwachung und den Einsatz einheitlicher Tools wie Projektmanagement-Software oder Ticket-Systemen.

Die Rolle der Unternehmensleitung ist hierbei von zentraler Bedeutung. Sie muss sich aktiv mit Informationssicherheit und Risikomanagement auseinandersetzen, ihr Engagement für Informationssicherheit sichtbar machen und dies gegenüber der Belegschaft kommunizieren. Regelmäßige Schulungen und Weiterbildungen, sowohl für die Leitungsebene als auch für die gesamte Belegschaft, sind dabei unerlässlich. Darüber hinaus sollte die Leitung die Umsetzung und Wirksamkeit der Maßnahmen kontinuierlich überwachen.

Die Überwachung der Wirksamkeit der Informationssicherheitsmaßnahmen umfasst verschiedene Kontrollmechanismen. Dazu zählen die Kontrolle der Maßnahmenumsetzung über Aufgabenmanagement, regelmäßige Abstimmungen mit der Unternehmensleitung – beispielsweise in Form von Managementbewertungen – sowie die Durchführung von Audits, Stichproben und Notfallübungen. Zur Bewertung der Effektivität können sinnvolle Kennzahlen herangezogen werden, wie die Einhaltung von Fristen bei der Behandlung von Risiken, der Abdeckungsgrad von Schulungsmaßnahmen, die Ergebnisse von Phishing-Simulationen, die Verbreitung von Endpoint-Sicherheitssoftware oder die Anzahl unbehobener kritischer Schwachstellen. Auch die Einhaltung vorgegebener Reaktionszeiten bei Vorfällen sowie die Berücksichtigung der Informationssicherheit in Projekten unter Einbindung des ISB sind wesentliche Kriterien.

Gerne können wir Ihnen Empfehlungen für geeignete Tools geben, die Sie bei der Umsetzung und Überwachung dieser Prozesse und Maßnahmen effektiv unterstützen.

Sicherheitsvorfälle müssen rechtzeitig erkannt und angemessen behandelt werden. Dafür ist es entscheidend, dass Mitarbeiter potenzielle Sicherheitsvorfälle melden können. Dies setzt entsprechende Schulungen voraus, um ein Bewusstsein für mögliche Gefahren zu schaffen. Darüber hinaus sollten technische Maßnahmen zur Erkennung etabliert werden, wie beispielsweise Firewalls, Endpoint-Sicherheitslösungen, Honeypots oder SIEM-Systeme. Ein klar definierter Prozess zur Reaktion auf Vorfälle ist unerlässlich. Dabei ist es wichtig, Schweregrade zu definieren und mit verbindlichen Reaktionszeiten zu versehen, wie zum Beispiel „sehr hoch“ mit sofortiger Reaktion und „hoch“ mit einer Reaktion innerhalb von zwei Stunden. Ebenso sollte geprüft werden, ob externe Unterstützung durch spezialisierte Dienstleister erforderlich ist.

Um die Klassifizierung und Priorisierung von Sicherheitsvorfällen zu erleichtern, ist es sinnvoll, diese in unterschiedliche Kritikalitätsstufen einzuteilen. Eine Tabelle mit typischen Vorfällen und entsprechenden Schweregraden kann dabei unterstützen. Solch eine Tabelle könnte beispielsweise folgende Inhalte darstellen:

Ein beispielhafter Prozess für die Behandlung von Sicherheitsvorfällen umfasst folgende Schritte: Zunächst werden alle erforderlichen Maßnahmen getroffen, um Leib und Leben zu schützen. Im Anschluss wird der Schaden durch Sofortmaßnahmen eingedämmt und relevante Stellen informiert. Danach wird der Schaden behoben. Vor der Wiederaufnahme der regulären Geschäftsprozesse sollte ein Funktions- und Sicherheitstest durchgeführt werden. Abschließend werden die gewonnenen Erkenntnisse („Lessons Learned“) analysiert, um künftige Maßnahmen zu optimieren.

Eine funktionierende Datensicherung bildet die Grundlage für ein effektives IT-Notfallmanagement. Datensicherungen müssen regelmäßig durchgeführt werden, idealerweise täglich. Grundlage der Planung ist die Festlegung, welcher Datenverlust maximal akzeptabel ist (z. B. 24 Stunden), und wie lange die Wiederherstellung der Daten maximal dauern darf, um die tolerierbare Ausfallzeit eines Prozesses nicht zu überschreiten. Auch Daten in der Cloud dürfen nicht vergessen werden. Gleichzeitig müssen die Datensicherungssysteme selbst geschützt werden, etwa durch netzwerkseitige Isolation, eigene Zugangsdaten oder den Einsatz von überschreibgeschützten Speichermedien (immutable Storage).

Regelmäßige Tests der Rücksicherung sind von zentraler Bedeutung. Mindestens einmal im Quartal sollten vollständige virtuelle Maschinen (VM) zurückgesichert und ihre Funktionsfähigkeit überprüft werden. Darüber hinaus sollte einmal jährlich eine umfassendere Prüfung erfolgen, bei der mehrere VMs in einer Testumgebung gemeinsam zurückgesichert und auf ihre Zusammenarbeit getestet werden. Dies stellt sicher, dass auch komplexe Systeme wie Domain Controller, Datenbanken oder Client-Arbeitsplätze im Ernstfall wiederhergestellt werden können.

Ein umfassendes IT-Notfallmanagement sollte als Teil eines Business Continuity Management Systems (BCMS) implementiert werden. Ein IT-Notfallhandbuch stellt dabei die Basis dar. Es sollte an einem sicheren und stets zugänglichen Ort aufbewahrt werden, der nicht durch den Vorfall betroffen sein kann – etwa in der Cloud, auf USB-Sticks, in einem Notfall-Notebook oder als Ausdruck im Safe. Das Handbuch sollte die Kontaktdaten aller relevanten Personen und Dienstleister, eine vollständige IT-Dokumentation mit Passwörtern, Anweisungen zur Wiederherstellung aus der Datensicherung sowie Notfall-Systeme wie Ersatz-Hardware oder Notfall-Notebooks enthalten. Darüber hinaus müssen Reaktionspläne für verschiedene Notfall-Szenarien entwickelt und regelmäßig getestet werden.

Die regelmäßige Übung der Notfallpläne ist entscheidend. Nur durch wiederholte Tests kann sichergestellt werden, dass alle Prozesse im Ernstfall reibungslos ablaufen und die Geschäftsfortführung gewährleistet ist.

Alle relevanten Lieferanten und Dienstleister müssen hinsichtlich ihrer Sicherheit geprüft werden. Ein besonderer Fokus sollte dabei auf IT-Dienstleister und wichtige Lieferanten gelegt werden. Um klare Rahmenbedingungen zu schaffen, ist es empfehlenswert, Verträge mit diesen Partnern abzuschließen und darin präzise Service Level Agreements (SLA) zu vereinbaren. Diese sollten Leistungsbeschreibungen, Reaktionszeiten und weitere relevante Details umfassen. Zudem sollte eine Selbstauskunft zur Informationssicherheit von den Lieferanten eingeholt und auf Basis der Ergebnisse konkrete Maßnahmen abgeleitet werden. Diese Sicherheitsbewertungen müssen regelmäßig aktualisiert werden, um den aktuellen Standards und Anforderungen zu entsprechen. Falls die Organisation über ein Lieferantenmanagement verfügt, sollte die Verwaltung dieser Prozesse idealerweise dort integriert sein.

Beim Einkauf und der Wartung von IT-Produkten wie Hardware und Software müssen ebenfalls Sicherheitsanforderungen berücksichtigt werden. Es wird empfohlen, die Beschaffung möglichst zentral – etwa über die IT-Abteilung – zu organisieren. Dabei sollten die Lieferanten nach den zuvor beschriebenen Kriterien geprüft werden. Zusätzlich ist es wichtig, vertraglich festzulegen, wer für die Wartung der IT-Produkte verantwortlich ist und wie diese durchgeführt wird. Ein besonderes Augenmerk sollte darauf liegen, klar zu definieren, durch wen und auf welche Weise Schwachstellen in den IT-Produkten erkannt, gemeldet und behandelt werden. Dies gewährleistet, dass die Sicherheitsstandards während des gesamten Lebenszyklus der Produkte aufrechterhalten werden.

Softwareentwicklung

Um eine sichere Software-Entwicklung zu gewährleisten, sollten verschiedene Maßnahmen ergriffen werden. Sicherheit sollte dabei von Beginn an integraler Bestandteil der Entwicklung sein, gemäß dem Prinzip "Security by Design". Gleichzeitig ist es wichtig, auch Datenschutzanforderungen frühzeitig zu berücksichtigen, etwa durch „Privacy by Design“ und „Privacy by Default“.

Qualitätssicherung spielt eine zentrale Rolle: Die Softwaredokumentation sollte so gestaltet sein, dass sie von anderen Entwicklern leicht nachvollzogen werden kann. Dies umfasst die Beschreibung des Entwicklungsprojekts, den Quellcode sowie detaillierte Funktions- und Schnittstellenbeschreibungen. Es ist essenziell, ausschließlich aktuelle Bibliotheken, Frameworks und Komponenten zu verwenden, um Sicherheitslücken durch veraltete Software zu vermeiden.

Vor der Produktivsetzung neuer Softwareversionen sind angemessene Test- und Freigabeverfahren durchzuführen. Werden Produktivdaten für Testzwecke genutzt, müssen Anforderungen der Informationssicherheit und des Datenschutzes, wie beispielsweise die Anonymisierung der Daten, berücksichtigt werden. Softwareentwicklungsumgebungen sowie der Quellcode sind zu schützen, wobei der Zugriff auf die Entwicklungsumgebung nur autorisierten Personen gestattet sein darf.

Wenn Entwicklungsumgebungen über das Internet erreichbar sind, sollten zusätzliche Schutzmaßnahmen wie VPN, starke Authentifizierung (z.B. Multi-Faktor-Authentifizierung) und verschlüsselte Kommunikation gemäß dem Stand der Technik eingesetzt werden. Eine Versionierung und die Trennung von Entwicklungs- und Testbereichen innerhalb der Entwicklungsumgebung sind sicherzustellen.

Zudem ist eine durchdachte Datensicherung erforderlich, um wichtige Entwicklungsschritte wiederherstellen zu können. Der Zugriff auf diese Sicherungsdaten sollte streng reguliert und nur autorisierten Personen möglich sein. Die Nachvollziehbarkeit des Zugriffs auf die Entwicklungsumgebung wird durch geeignete Protokollierungsmaßnahmen gewährleistet.

Zudem muss beschrieben werden, wie Software getestet wird und wie sie von Entwicklungs- in die Produktivsysteme überführt werden.

Softwareentwickler sollten regelmäßig Schulungen zur Sicheren Softwareentwicklung erhalten.

Wartung

Die Wartung von IT-Systemen ist ein zentraler Aspekt, der bereits bei der Beschaffung der Systeme berücksichtigt und vertraglich geregelt werden sollte. Insbesondere ist dabei festzulegen, wie Schwachstellen identifiziert und behoben werden und wer dafür verantwortlich ist. Ein formales Change-Management bildet die Grundlage für die Durchführung von Updates und stellt sicher, dass Änderungen an Informationssystemen kontrolliert erfolgen und Aspekte der Informationssicherheit während des gesamten Lebenszyklus berücksichtigt werden.

Change-Management und Sicherheitsstandards:

Ein effektives Änderungsmanagement sollte sich an einem anerkannten IT-Service-Management-Standard wie ITIL orientieren und mindestens einmal jährlich überprüft werden. Es gewährleistet, dass Informationssysteme zuverlässig arbeiten und die notwendige Leistung sowohl heute als auch in Zukunft erbringen können. Dazu ist eine gründliche Kapazitätsplanung erforderlich.

Das Änderungsmanagement-Prozess sollte klar definierte Schritte und Verantwortlichkeiten umfassen:

  • Genehmigung: Änderungen dürfen nur von einer zuständigen Stelle genehmigt werden.
  • Risikobewertung: Alle mit der Änderung verbundenen Risiken müssen gemeinsam mit dem Informationssicherheitsbeauftragten (ISB) bewertet und entsprechende Maßnahmen zur Risikominderung umgesetzt werden.
  • Sicherheitsmaßnahmen: Es ist sicherzustellen, dass alle notwendigen Sicherheitsmaßnahmen wirksam implementiert werden.
  • Notfall-Änderungen: Änderungen, die außerhalb des regulären Prozesses durchgeführt werden müssen (z. B. in Notfällen), sind dem ISB vor oder unmittelbar nach der Umsetzung zu melden.
  • Prozessanpassung: Sollten Änderungen zu Problemen führen, sind die Ursachen zu analysieren, und der Änderungsprozess ist entsprechend anzupassen.

Durchführung von Software-Aktualisierungen:

Für jedes Informationssystem muss ein klarer Plan festgelegt werden, wie und in welchem Zeitrahmen Software-Aktualisierungen durchgeführt werden sollen. Dies umfasst alle Systemkomponenten wie Firmware, BIOS, Betriebssysteme, Serversoftware und Anwendungssoftware.

Wichtige Aspekte bei der Planung und Installation von Updates:

  • Minimierung von Betriebsunterbrechungen: Aktualisierungen sollten so geplant werden, dass sie den laufenden Betrieb möglichst wenig beeinträchtigen.
  • Testphase: Updates, die viele Systeme betreffen und daher ein hohes Störungspotenzial haben, sollten zunächst an einer Testgruppe erprobt werden.
  • Rollback-Mechanismus: Für Systeme mit hohem Schutzbedarf muss ein Mechanismus vorhanden sein, der bei Problemen eine Rückkehr zum vorherigen Zustand innerhalb akzeptabler Zeitrahmen (RTO) und mit minimalem Datenverlust (RPO) ermöglicht.
  • Testumgebungen: Aktualisierungen von Systemen mit sehr hohem Schutzbedarf sind vor der Installation in einer Testumgebung zu prüfen.
  • Fehlerbehandlung: Falls Aktualisierungen Fehlfunktionen verursachen, müssen die Ursachen nach Behebung der Störung gründlich analysiert und dokumentiert werden.

Eine strukturierte Wartung und ein durchdachtes Change-Management sind essenziell, um die Sicherheit und Zuverlässigkeit von IT-Systemen sicherzustellen. Durch klare Prozesse, regelmäßige Überprüfungen und präventive Maßnahmen können Risiken minimiert und die Betriebskontinuität gewährleistet werden. Die Kombination aus präziser Planung, sorgfältigen Tests und einer robusten Rückfallebene stellt sicher, dass IT-Systeme auch in kritischen Situationen zuverlässig arbeiten.

Schwachstellenmanagement

Ein effektives Schwachstellenmanagement ist elementar, um die Sicherheit von Informationssystemen zu gewährleisten. Dieses Management sollte formal etabliert sein und sicherstellen, dass identifizierte Schwachstellen risikobasiert innerhalb festgelegter Fristen behoben werden. Der Prozess beginnt mit einer kontinuierlichen und systematischen Informationsbeschaffung. Täglich werden relevante Informationen über technische Schwachstellen aus vertrauenswürdigen Quellen gesammelt und zeitnah ausgewertet. Diese Quellen umfassen unter anderem Meldungen von Herstellern, Behörden wie dem BSI, anerkannten Computer Emergency Response Teams (CERT/CSIRT), Verbänden, Interessengruppen sowie spezialisierten Nachrichtenportalen und Dienstleistern.

Ergänzend sollten alle Informationssysteme und Systemkomponenten regelmäßig durch Schwachstellenscans geprüft werden, soweit dies technisch möglich ist. Die Häufigkeit dieser Scans wird durch eine fundierte Risikobewertung bestimmt, die Faktoren wie die Exposition und Anzahl der betroffenen Systeme, bestehende Sicherheitsmaßnahmen und den Schutzbedarf der betroffenen Informationswerte berücksichtigt. Sollte bei bestimmten Systemen ein Schwachstellenscan ein hohes Risiko für deren Verfügbarkeit oder Integrität darstellen, können diese ausgeschlossen werden. In solchen Fällen ist jedoch eine sorgfältige Bewertung und Behandlung des daraus resultierenden Risikos erforderlich.

Die im Rahmen der Schwachstellenscans identifizierten Schwachstellen werden durch eine Risikobewertung analysiert. Hierbei wird die Eintrittswahrscheinlichkeit der Schwachstelle unter Berücksichtigung mehrerer Faktoren bewertet: Ist die Schwachstelle relevant und ausnutzbar? Ist das betroffene System exponiert, beispielsweise über das Internet erreichbar? Wie viele Systeme sind betroffen, und wie stark sind diese geschützt? Zudem wird geprüft, ob öffentlich verfügbare Exploits existieren und ob die Schwachstellen bereits aktiv ausgenutzt werden. Parallel dazu werden die potenziellen Auswirkungen bewertet. Dabei spielen sowohl die Bewertungen vertrauenswürdiger Quellen (z. B. CVSS-Score) und Schwachstellenscanner (z. B. Kritikalitätsbewertung, Tenable VPR-Score) als auch der Schutzbedarf des betroffenen Informationswertes eine Rolle. Auch wird untersucht, ob das betroffene System den Zugriff auf interne Ressourcen ermöglicht.

Die Risikobehandlung erfolgt in Übereinstimmung mit den definierten Optionen für das Risikomanagement. Sofern ein identifiziertes Risiko nicht akzeptiert werden kann, muss es entweder vermieden oder verringert werden. Zu den Maßnahmen zur Vermeidung gehört etwa die Deaktivierung oder Außerbetriebnahme des betroffenen Systems. Um Risiken zu verringern, können Sicherheitsupdates eingespielt, Systeme gehärtet oder so konfiguriert werden, dass die Schwachstellen nicht mehr ausnutzbar sind. Auch eine Isolation des Systems auf Netzebene kann eine wirksame Maßnahme sein, um die Ausnutzbarkeit zu verhindern. Die Fristen für die Umsetzung dieser Maßnahmen richten sich nach der Höhe des identifizierten Risikos; beispielsweise sollten bei sehr hohen Risiken Maßnahmen innerhalb von zwei Stunden umgesetzt werden.

Durch diesen strukturierten Ansatz wird sichergestellt, dass Schwachstellen effektiv und effizient behandelt werden, wobei die Sicherheit der Informationssysteme und der Schutz sensibler Daten stets im Fokus stehen.

Gerne können wir Ihnen Empfehlungen für geeignete Tools geben, die Sie bei der Umsetzung und Überwachung dieser Prozesse und Maßnahmen effektiv unterstützen.

Ein effektives Schulungs- und Sensibilisierungsprogramm ist ein zentraler Baustein zur Stärkung der Informationssicherheit in Unternehmen und Organisationen. Mitarbeiter sollten regelmäßig geschult werden, um ein tiefes Verständnis für Sicherheitsvorschriften und die damit verbundenen Verhaltensregeln zu entwickeln. Dabei ist es entscheidend, nicht nur die geltenden Vorschriften und Regelungen zu erklären, sondern auch praxisnahe Szenarien durchzugehen, etwa das Erkennen und Melden von Sicherheitsvorfällen oder der Umgang mit potenziell gefährlichen Phishing-Mails. Schulungen sollten zudem den richtigen Umgang mit IT-Systemen und -Ressourcen vermitteln, einschließlich der Vorgaben zur Nutzung freigegebener Hard- und Software. Klare Richtlinien und Verbote zum Umgang mit IT-Systemen müssen für interne Mitarbeiter ebenso wie für externe Dienstleister verständlich und verbindlich definiert sein.

Lernmanagementsysteme (LMS) können dabei eine wertvolle Unterstützung sein, indem sie Schulungsinhalte zentral bereitstellen und Fortschritte dokumentieren. Ergänzend dazu gibt es spezialisierte Portal-Lösungen, die beispielsweise interaktive Phishing-Simulationen integrieren und so ein praxisnahes Training ermöglichen.

Die Inhalte der Schulungen sollten auf die jeweilige Zielgruppe abgestimmt sein. Mitarbeiter in der Verwaltung haben andere Anforderungen und Gefahrenquellen als gewerbliche Mitarbeiter, während die Buchhaltung gezielt für Bedrohungen wie CEO-Fraud sensibilisiert werden sollte. Fallbezogene Sensibilisierung, etwa bei konkreten Phishing-Angriffen oder anderen Sicherheitsvorfällen, kann die Effektivität der Maßnahmen weiter erhöhen. Darüber hinaus sollten alle Maßnahmen zur Schulung und Sensibilisierung an einer zentralen Stelle, beispielsweise in der Personalabteilung, koordiniert werden. Die Ergebnisse der Schulungen sollten regelmäßig ausgewertet werden, um Schwachstellen im Wissen oder der Abdeckung zu identifizieren und gezielt nachzusteuern. Für Organisationen, die Unterstützung benötigen, stehen Anbieter für Schulungsinhalte und Portal-Lösungen zur Verfügung.

Parallel zu diesen regelmäßigen Schulungen sollte die Informationssicherheit während des gesamten Personallebenszyklus berücksichtigt werden. Bereits vor der Einstellung neuer Mitarbeiter können Sicherheitsüberprüfungen, wie die Abfrage eines polizeilichen Führungszeugnisses oder die Identitätsfeststellung durch Ausweisdokumente, dazu beitragen, Risiken zu minimieren. Nach der Einstellung sollten Zuweisungen und Rücknahmen von Berechtigungen klar geregelt und bei Änderungen, etwa beim Ausscheiden eines Mitarbeiters, sofort umgesetzt werden. Ebenso ist sicherzustellen, dass alle unternehmensseitig bereitgestellten Geräte und Zugänge vollständig zurückgegeben werden. Klare Vorschriften und regelmäßige Schulungen unterstützen die Mitarbeiter dabei, die Anforderungen der Informationssicherheit in ihrem Arbeitsalltag konsequent umzusetzen.

Durch eine Kombination aus regelmäßigen Schulungen, fallbezogener Sensibilisierung, zielgruppenorientierten Inhalten und einer klaren Integration von Sicherheitsaspekten in alle Phasen des Personallebenszyklus kann eine möglichst umfassende Sicherheitskultur etabliert werden, die Risiken minimiert und das Bewusstsein für Informationssicherheit auf allen Ebenen stärkt.

Kryptographische Verfahren spielen eine entscheidende Rolle beim Schutz der Vertraulichkeit von Informationen. Darüber hinaus können sie auch zur Identitätsfeststellung von Nutzern – etwa bei Anmeldungen an IT-Systemen oder E-Mail-Diensten – sowie zur Authentizitätsprüfung, wie der Feststellung einer Urheberschaft oder der Echtheit von Informationen, beitragen. Angesichts ihrer vielseitigen Einsatzmöglichkeiten sollte Kryptographie insbesondere dort eingesetzt werden, wo sensible Informationswerte verarbeitet werden oder ein grundsätzliches Risiko durch unerlaubten Zugriff, Abhören oder Fälschungen besteht.

Um Kryptographie und Verschlüsselung effektiv und strukturiert nutzen zu können, ist es wichtig, klare Regelungen zu schaffen. Zunächst sollte definiert werden, welche kryptographischen Verfahren für welche Einsatzzwecke freigegeben sind. Ebenso muss festgelegt werden, wie diese Verfahren genutzt werden sollen, um eine konsistente und sichere Anwendung zu gewährleisten. Die Verantwortung für die Verwaltung kryptographischer Verfahren – beispielsweise durch die IT-Abteilung – sollte klar benannt sein.

Ein weiterer zentraler Aspekt ist die regelmäßige Überprüfung der eingesetzten Verfahren auf Aktualität und Sicherheit. Es muss sichergestellt werden, dass die verwendeten Algorithmen weiterhin dem Stand der Technik entsprechen und als sicher gelten. In Deutschland gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) hierzu regelmäßig relevante Informationen heraus, die in den Prüfungsprozess einfließen sollten.

Die Kontrolle des Zugangs zu den Informationswerten einer Organisation ist ein wesentlicher Bestandteil einer umfassenden Strategie für die Informationssicherheit. Um die Vertraulichkeit, Integrität und Verfügbarkeit dieser Werte effektiv zu schützen, sind sowohl physische als auch logische Maßnahmen erforderlich, die in einer entsprechenden Richtlinie festgelegt werden sollten.

Geeignete Zugangskontrollen müssen eindeutig auf Basis der Anforderungen des Unternehmens sowie einer Risikobewertung definiert werden. Bei der Gestaltung dieser Kontrollen gelten grundlegende Prinzipien. Erstens, „Defense in Depth“: Sicherheit sollte niemals von einer einzelnen Maßnahme abhängen, sondern durch eine Kombination mehrerer sich ergänzender Maßnahmen gewährleistet werden. Zweitens, das Prinzip des „Least Privilege“: Es wird grundsätzlich davon ausgegangen, dass ein Zugriff nicht erforderlich ist, es sei denn, dies wird ausdrücklich belegt. Drittens, „Need to Know“: Der Zugang zu Informationen wird nur gewährt, wenn sie für die Ausübung einer bestimmten Rolle notwendig sind. Und schließlich „Need to Use“: Benutzer erhalten nur Zugang zu den physischen und logischen Ressourcen, die für ihre Tätigkeit erforderlich sind.

Die Umsetzung dieser Zugangskontrollen sollte möglichst zentral durch die IT-Abteilung verwaltet werden. Wo dies nicht möglich ist, müssen Führungskräfte in ihren jeweiligen Bereichen geeignete Prozesse einführen. Es sollte klar geregelt sein, wer Zugänge und Zugriffsrechte genehmigen kann – etwa direkte Vorgesetzte – und wie diese beantragt werden. Besonders wichtig ist, dass Berechtigungen eines Mitarbeiters bei Veränderungen, wie einem Abteilungswechsel oder der Beendigung des Arbeitsverhältnisses, zeitnah angepasst werden. Dabei müssen sowohl interne IT-Systeme (on-premises) als auch Zugänge zu Cloud-Diensten und externen Online-Portalen berücksichtigt werden, da Letztere oft übersehen werden.

Privilegierte Zugänge und Zugriffsrechte bedürfen einer besonders genauen Verwaltung und Überprüfung. Solche Zugriffsrechte dürfen nur auf dedizierten Konten genutzt werden und sollten nicht Teil der alltäglichen Arbeit sein. Besonders administrative Zugänge müssen regelmäßig überprüft werden, um sicherzustellen, dass sie weiterhin benötigt werden und nur von berechtigten Personen genutzt werden können. Das Prinzip „Need to Use“ ist hierbei von zentraler Bedeutung, um eine unnötige Ansammlung von Berechtigungen oder generelle Administratorrechte, wie sie etwa bei Windows Domain Admins vorkommen, zu vermeiden.

Da die manuelle Verwaltung und Prüfung privilegierter Zugänge und Berechtigungen aufwendig und fehleranfällig sein kann, sollte geprüft werden, ob der Einsatz eines speziellen Tools diesen Prozess unterstützen kann. Ein solches Tool kann dabei helfen, die Effizienz und Genauigkeit im Berechtigungsmanagement zu verbessern. Gerne geben wir hierzu Empfehlungen.

Um IT-Systeme effektiv zu schützen, müssen sie zunächst bekannt und dokumentiert sein – „Man kann nur das schützen, was man kennt!“ Daher ist es essenziell, dass alle Informationssysteme inventarisiert werden und diese Inventarisierung stets auf dem neuesten Stand gehalten wird. Eine umfassende Dokumentation sollte folgende Informationen enthalten: einen eindeutigen Namen, den Einsatzzweck, die fachlich verantwortliche Person oder Organisationseinheit (Business Owner) sowie die technisch verantwortliche Person oder Organisationseinheit. Darüber hinaus sollten der Standort des Systems (bei stationären Geräten) oder der Besitzer (bei mobilen Geräten) vermerkt werden. Auch die verwendete Firmware oder das Betriebssystem inklusive Hauptversion, die eingesetzte Serversoftware mit Hauptversion sowie wichtige Konfigurationseinstellungen sollten festgehalten werden.

Über ein Änderungsmanagement-Verfahren muss sichergestellt werden, dass diese Dokumentation regelmäßig aktualisiert wird. Ein gut funktionierendes IT-Asset-Management ermöglicht es zudem, den Überblick darüber zu behalten, welche Software installiert ist, welche Sicherheitsmaßnahmen für jedes System implementiert wurden und ob diese Maßnahmen wirksam sind. Darüber hinaus können potenzielle Schwachstellen identifiziert und dokumentiert werden.

Ein IT-Asset-Management bildet somit eine grundlegende Voraussetzung für zahlreiche andere Sicherheitsmaßnahmen. Es ist wichtig, dass alle Arten von Systemen in dieses Management einbezogen werden – nicht nur klassische IT-Systeme, sondern auch Automatisierungstechnik (Operational Technology, OT) wie speicherprogrammierbare Steuerungen (SPS), Anlagen der Gebäudeleittechnik oder Maschinen. Ein modernes IT-Asset-Management sollte toolbasiert erfolgen, um Effizienz und Genauigkeit zu gewährleisten. Gerne können wir Ihnen passende Lösungen für die Implementierung empfehlen.

Die Multi-Faktor-Authentifizierung (MFA) sollte risikobasiert eingesetzt werden, um den Schutz sensibler Systeme und Daten zu gewährleisten. Besonders wichtig ist der Einsatz von MFA bei Fernzugriffen über das Internet, für privilegierte Zugriffe wie administrative Tätigkeiten und für den Zugriff auf Cloud-Dienste. Die konkrete Implementierung von MFA hängt dabei vom jeweiligen Einsatzzweck und den verfügbaren Funktionen der genutzten Systeme ab.

Bei der Einführung von MFA gilt es, ein ausgewogenes Verhältnis zwischen Sicherheit und Nutzbarkeit herzustellen. Es ist zu beachten, dass MFA zusätzliche Arbeitsschritte für die Mitarbeiter und erhöhten Verwaltungsaufwand für die IT-Abteilung bedeutet. Diese Faktoren sollten bei der Planung und Umsetzung berücksichtigt werden, um eine reibungslose Einführung zu gewährleisten.

Eine weitere Maßnahme zur Verbesserung der Sicherheit und Benutzerfreundlichkeit ist die Nutzung von Single-Sign-On (SSO). SSO ermöglicht die zentrale Verwaltung von Benutzern und dient als Grundlage für die Anmeldung bei möglichst vielen Diensten. Diese Methode reduziert den Verwaltungsaufwand, da Berechtigungen immer aktuell dokumentiert werden, und entlastet die Nutzer, indem sie sich nicht mehrere Kennwörter merken oder sich mehrfach einloggen müssen. Die gesteigerte Benutzerakzeptanz („User Acceptance“) fördert gleichzeitig die Sicherheit, da die Nutzer eher geneigt sind, sichere Systeme und Prozesse zu verwenden.

Gerne beraten wir Sie zu passenden Lösungen, um sowohl MFA als auch SSO effektiv in Ihrem Unternehmen zu implementieren.

Die Sprach-, Video- und Textkommunikation eines Unternehmens muss wirksam abgesichert werden, um die Vertraulichkeit, Integrität und Verfügbarkeit der Kommunikation zu gewährleisten. Dafür ist eine starke Identifikation und Authentifizierung der Nutzer erforderlich, beispielsweise durch den Einsatz von Multi-Faktor-Authentifizierung (MFA). Darüber hinaus sollten kryptographische Verfahren für alle Kommunikationsarten eingesetzt werden, wie beispielsweise TLS für sichere Verbindungen oder S/MIME und PGP für den E-Mail-Verkehr.

Zusätzlich ist es wichtig, Ersatzsysteme für die Kommunikation vorzusehen, falls die Primärsysteme ausfallen. Solche Systeme sind in der Regel Teil des Notfallmanagements. Ein gesichertes Notfallkommunikationssystem könnte beispielsweise aus Satellitentelefonen, Funkkommunikationsgeräten oder spezialisierten Kommunikationsanwendungen bestehen, die unabhängig von herkömmlichen Netzwerken funktionieren. Diese Systeme stellen sicher, dass das Unternehmen auch in Krisensituationen in der Lage ist, Informationen auszutauschen, Entscheidungen zu treffen und angemessen auf Sicherheitsvorfälle zu reagieren. Dadurch wird die Geschäftskontinuität gewährleistet und die Handlungsfähigkeit in Notfällen gestärkt.

Besonders Kommunikationsplattformen, die speziell für die Krisenkommunikation vorgesehen sind, können im Vorfeld vorbereitet werden, etwa durch die Identifikation und Einrichtung alternativer Anbieter zum Primärsystem. Dabei sollten insbesondere Videokonferenzsysteme, Telefonie und E-Mail-Kommunikation genauer betrachtet werden, da sie häufig essenzielle Kanäle für den Informationsaustausch darstellen.