IT-Security-Siegel: Dein Zertifikat für mehr Sicherheit

Netzwerkinfrastruktur

Die Netzwerkinfrastruktur ist sinnvoll segmentiert, sodass Systeme verschiedener Kritikalitätsklassen technisch voneinander getrennt sind. Aus dem Internet erreichbare Systeme sind in einem separaten DMZ-Bereich angesiedelt. Die Clients sind in einem eigenen Netz bzw. je nach Unternehmensgröße in fachbereichsspezifischen eigenen Netzen angesiedelt. Wichtige zentrale Systeme sind redundant angebunden. Das WLAN weist eine adäquate Verschlüsselung auf und ist vor unautorisiertem Zugriff geschützt. Ein eventuell vorhandenes Gast-WLAN ist von anderen Netzen separiert und nicht öffentlich zugreifbar. Es existiert ein eigenes Netzwerk für administrative Tätigkeiten und alle administrativen Oberflächen sind ausschließlich über dieses Netzwerk erreichbar.

Physische Sicherheit

Der Zutritt in relevante Gebäudeteile des Unternehmens oder ggf. kritische Bereiche des Unternehmensgeländes ist entsprechend eingeschränkt, sodass Externe sich nicht frei im Gebäude bewegen können und kritische Bereiche auch nur für berechtigte Mitarbeitende zugänglich sind. Die Netzwerkinfrastruktur ist physisch durch bauliche Maßnahmen geschützt, sodass der physische Zugriff auf Kabel, Router, Switche und Firewalls nur einem eingeschränktem Personenkreis möglich ist.

Allgemeine und technische Richtlinien

Es existiert eine verbindliche Passwortrichtlinie, die adäquate Passwörter für Benutzer und Administratoren vorschreibt. Darüber hinaus muss für alle aus dem Internet erreichbaren administrativen Logins 2FA verwendet werden. Es existiert eine Kryptorichtlinie, welche den Einsatz kryptografischer Verfahren und ggf. die Verwendung einer eigenen Certificate Authority (CA) im Unternehmen regelt. Die Mitarbeitenden werden mindestens jährlich verpflichtend im Bereich Phishing geschult, um Phishing-Angriffen vorzubeugen.

Administrative Prozesse

Administrative Tätigkeiten finden ausschließlich über verschlüsselte und vertrauenswürdige Verbindungen statt. Administrative Tätigkeiten können jederzeit einem Administrator zugeordnet werden und sind somit nachvollziehbar. Es gibt ein dediziertes On- und Offboarding-Verfahren, in dem die benötigten Berechtigungen und Zugänge nachvollziehbar gewährt bzw. entzogen werden.

Verwaltung von Server- und Client-Systemen

Die eingesetzten Server- und Client-Systeme sowie Mobilgeräte werden nach einem standardisierten Verfahren aufgesetzt und zentral durch die IT verwaltet. Im Zuge der initialen Einrichtung findet auch eine Härtung der Systeme statt, die Angriffe auf das jeweilige System erschwert. Mobilgeräte, die das Unternehmensgelände verlassen, werden in einem Mobile Device Management verwaltet, über welches sie lokalisiert, gesperrt oder gelöscht werden können. Alle Systeme weisen eine effektive Verschlüsselung auf. Es gibt eine Inventarisierung aller Systeme und entweder eine Liste mit freigegebenen Programmen inkl. Versionen oder eine Erfassung der installierten Programme inkl. Version.

Virenschutz

Auf allen Client-Rechnern sowie auf allen direkt aus dem Internet erreichbaren Systemen muss eine aktuelle Virenschutzlösung zum Einsatz kommen. Die Virenschutzlösung wird zentral verwaltet und darf durch die Mitarbeitenden nicht pauschal deaktiviert werden können. Die Signaturen der Virenschutzlösung müssen durch entsprechende Maßnahmen immer aktuell gehalten werden.

Patchmanagement

Für alle eingesetzten Systeme muss ein adäquates Patchmanagement stattfinden. Der Einsatz der verschiedenen Anwendungen und Betriebssysteme muss inklusive Versionsnummer dokumentiert sein. Es muss ein Vorgehen existieren, um bekannt gewordene Schwachstellen zu bewerten und sicherheitskritische Schwachstellen zeitnah zu schließen. Insbesondere dürfen keine veralteten Systeme mit bekannten offenen Sicherheitslücken im Einsatz sein.

Storage-Management

Insofern zentrale Storage-Systeme zum Einsatz kommen, muss ein nachvollziehbares Rollen- und Rechtemodell für die gespeicherten Daten existieren. Eingesetzte Storage-Systeme sollten abhängig der gespeicherten Daten ggf. redundant aufgebaut werden, um Datenverlust vorzubeugen.

Datenbankmanagement

Falls Datenbanksysteme zum Einsatz kommen, muss ein nachvollziehbares Rollen- und Rechtemodell existieren und eine Mandantentrennung stattfinden. Der Zugriff auf die Datenbanken muss im Rahmen der Netzwerksegmentierung auf erforderliche Systeme eingeschränkt sein.

Backup und Wiederherstellung

Abhängig der eingestuften Kritikalität der Daten müssen regelmäßige Backups erstellt werden. Hierbei sollte auch mindestens eine Version des Backups an einem anderen Ort als dem Ursprung der Daten gelagert werden. Die Wiederherstellung einzelner Daten und ganzer Systeme aus dem Backup muss mindestens jährlich getestet werden. Zugriffe auf die Backupsysteme sollten so weit es geht eingeschränkt sein. Kritische Unternehmensdaten müssen mindestens auf Monats-Basis ein Jahr lang vorgehalten werden. Ebenfalls sollten die Speichermedien für die Datensicherung der kritischen Unternehmensdaten nur während des Backups und der Wiederherstellung mit dem Netzwerk bzw. dem Ursprungssystem verbunden sein.

Notfallpläne

Es muss eine Risikobetrachtung durchgeführt worden sein, sodass die Kritikalität der einzelnen Systeme und Prozesse dokumentiert ist. Für verschiedene Risikoszenarien müssen Notfallpläne existieren und die Mitarbeitenden entsprechend geschult sein, um im Krisenfall diese Notfallpläne abarbeiten zu können.

Vulnerability-Management

Das Unternehmen sollte einen Prozess etabliert haben, über den es neue Sicherheitsschwachstellen identifiziert. Diese Schwachstellen müssen bewertet werden, um entsprechende Maßnahmen abzuleiten. Diese Maßnahmen müssen abhängig von der Kritikalität der bekannten Schwachstellen in angemessener Zeit umgesetzt werden. Darüber hinaus müssen bekannte Schwachstellen zentral verfolgt und regelmäßig neu bewertet werden. Sicherheitsvorfälle können von den Mitarbeitenden an eine zentrale Stelle gemeldet werden, welche eine Bewertung des Vorfalls vornimmt und notwendige Maßnahmen einleitet.

Virtualisierung

Kommt eine Virtualisierung zum Einsatz, so muss in der Virtualisierungslösung ein nachvollziehbares Rollen- und Rechtekonzept für alle Ressourcen zum Einsatz kommen. Die Netzwerkanforderungen müssen auch virtualisiert umgesetzt sein, um die Netzwerke entsprechend zu segmentieren.

Cloud-Infrastruktur

Kommen Cloud-Komponenten zum Einsatz, so sind gängige Best-Practices und Sicherheits-Empfehlungen des jeweiligen Cloud-Anbieters zu befolgen. Insbesondere müssen alle Zugriffe auf Systeme in der Cloud direkt aus dem Internet mittels 2FA abgesichert werden. Der Datenfluss zwischen Cloud- und on-prem-Systemen muss entsprechend abgesichert sein.

Verfügbarkeits-/Security-Monitoring

Es findet ein zentrales Monitoring der kritischen Systeme statt, welches die Auslastung erfasst und bei absehbaren Engpässen oder Ausfällen eine Alarmierung durchführt. Ebenfalls findet ein zentrales Logging sicherheitsrelevanter Ereignisse statt und bei Auffälligkeiten erfolgt auch hier eine Alarmierung. Der administrative Zugriff auf die Monitoring- und Logging-Systeme sollte nach Möglichkeit unabhängig von anderen administrativen Tätigkeiten erfolgen.

Penetrationstest

Es muss ein Penetrationstest auf das Client-Netzwerk sowie weiterer kritischer Netzbereiche nachgewiesen werden. Ziel ist es hierbei, die Auswirkungen eines übernommenen Client-Rechners nachzuvollziehen und die erreichbaren Systeme hinsichtlich der Netzwerksegmentierung zu identifizieren. Der Test kann durch die codecentric oder auch von einem anderen externen Anbieter durchgeführt werden.