IT-Compliance Checkliste für Ihr Unternehmen

Letzte Bearbeitung: 11. Juli 2022 | Michael Ulm

Je mehr Internet- und IT-gestützte Prozesse Ihr Unternehmen benötigt, desto größer ist das Risiko, dass Sie aufgrund von Informationsdiebstahl und Datenverlusten in rechtliche und wirtschaftliche Schwierigkeiten geraten.

Wir haben eine Reihe von Fragen, die sie sich stellen sollten, zu einer IT-Compliance Checkliste zum Abhacken zusammengefasst. Sollten Sie alle Punkte anhaken können, sind Sie bereits auf einem guten Weg.

it compliance
Lesezeit: 2 Minuten

Platzierung und Konfiguration Ihrer Infrastruktur

  • Sind Ihre Netzwerk-Router und Switches an sicheren Orten untergebracht? Haben nur Befugte (Administratoren) Zugang zu diesen Geräten?
  • Sind alle Netzwerkanschlüsse entweder belegt oder “gesperrt”? Wird verhindert, dass unbefugte Geräte in Ihr Netzwerk hängen?
  • Sind die Räumlichkeiten, in denen sich Ihre Server- und Netzwerkinfrastruktur befindet, auch tatsächlich immer versperrt?
  • Sind Büroräume versperrt, wenn niemand darin arbeitet

Derartige Fragen sollten Sie sich auf jeden Fall für eine gute IT-Compliance stellen. Sie stellen damit sicher, dass Angreifer keinen Zugriff auf Ihre wertvollen Daten haben. Wenn Ihre Router frei in einem öffentlichen Raum stehen, kann jede Person frei auf diese zugreifen. Angreifer können dadurch einerseits wichtige Daten lesen. Andererseits können diese schädliche oder falsche Daten in Ihr System pflanzen.

Mitarbeiter:innen Hardware

  • Sind alle Festplatten auf den Firmen-PCs verschlüsselt?
  • Gibt es eine strikte Trennung von Firmen- und Privatgeräten? Dürfen Firmendaten auf Privatgeräten gespeichert werden beziehungsweise Privatgeräte für Firmenangelegenheiten genutzt werden?
  • Falls keine Trennung: Gibt es klare und regelmäßig überprüfte Richtlinien, welche die Integrität von Firmen-Daten sicherstellen?
  • Sind alle Geräte auf dem neuesten Stand und gegen Bedrohungen geschützt (Updates, Antivirus-Software)?

So praktisch privat genutzte Firmen-Hardware oder betrieblich genutzte Privat-Hardware ist, öffnen derartige Möglichkeiten auch zahlreiche neue Probleme. In unserer IT-Compliance Checkliste stellen wir diese übersichtlich für Sie dar. Denn diese Art von Problemen benötigen eine Lösung. So kann beispielsweise ein privates Notebook mit einem Virus befallen werden. Die Möglichkeit ist sehr hoch, dass das private Notebook beim Verbinden ins Firmennetzwerk, das gesamte Netzwerk infiziert. Daher ist es aus betrieblicher Sicht unumgänglich, jedes Gerät, das im betrieblichen Umfeld Einsatz findet, auch nach den Firmenstandards zu schützen. Bei einem gestohlenen Notebook ist es beispielsweise möglich, dass dieses zerlegt und die Festplatte ausgelesen wird. Gegen solche Angriffe schützt bereits eine verschlüsselte Festplatte. Windows bietet mit dem BitLocker-Verschlüsselungssystem hierbei eine kundenfreundliche und sichere Möglichkeit.

Netzwerksicherheit

  • Sind nicht benötigte Netzwerksteckdosen auch tatsächlich “blind” oder auf sonstige Weise gegen Fremdzugriff abgesichert?
  • Verwenden Dienste wie beispielsweise WLAN immer die aktuellsten Protokolle?
  • Gibt es eine Unterscheidung zwischen firmeninternen und öffentlichen Netzwerkzugängen (beispielsweise für Gäste)?
  • Werden Zugangs-Passwörter regelmäßig geändert?

Natürlich ist es ein gutes Service (und in gewissen Bereichen unerlässlich), dass Sie Ihren Gästen einen Internetzugang anbieten. Wenn aber Gäste leicht in ihr Netzwerk kommen, gilt dies auch meist für Angreifer. Daher bietet sich eine strikte Trennung ihres Netzwerkes in verschiedene Unternetze an, sodass wirklich nur berechtigte Personen Zugriff auf interne Daten haben.

Die regelmäßige Erneuerung verschiedenster Netzwerkprotokolle erfolgt nicht ohne Grund. Oft stellt sich heraus, dass ein Protokoll eine Sicherheitslücke enthält. Ein Angebot, dass sich kein Hacker entgehen lässt. Daher ist es wichtig, in diesem Bereich Überprüfungs- und Update-Zyklen einzuführen und sich auch strikt daranzuhalten!

Verhalten gegenüber Fremdfirmen

  • Gibt es mit allen Fremdfirmen in Ihren Räumlichkeiten bindende Verträge, die Vertraulichkeit regeln?
  • Wird die Einhaltung dieser Verträge auch regelmäßig überprüft?
  • Werden Mitarbeiter:innen von Fremdfirmen vollständig geschult?

Auch wenn Sie absolutes Vertrauen in Ihre Mitarbeiter:innen haben, kann dies im Normalfall nicht auch für alle Mitarbeiter:innen von allen Fremdfirmen, die in Ihren Räumlichkeiten arbeiten, gelten. Haben Ihre Reinigungskräfte Zugang zu allen Räumlichkeiten? Was spricht für Angreifer dagegen, diesen Reinigungskräften einen USB-Stick mit Schadsoftware mitzugeben, den diese gegen gute Bezahlung einfach anstecken?

Informationsfluss

  • Gibt es klare Richtlinien, welche Informationen über welche Kanäle weitergegeben werden dürfen?
  • Wird die Einhaltung dieser Richtlinien auch regelmäßig überprüft?
  • Werden “Schattenkanäle” (beispielsweise “ausplaudern”, Weitergabe auf einem Blatt Papier) bestmöglich verhindert?

Eine E-Mail-Adresse ist für Angreifer schnell gefälscht. So kann annähernd jede IT-affine Person Ihnen eine E-Mail von “gott@himmel.com” zuschicken. Wenn nun der Name der Geschäftsführung und das E-Mail-Schema des Unternehmens bekannt ist, können Angreifer jederzeit unter falschem Namen nach Daten fragen, und Sie haben wichtige Informationen preisgegeben.

Dokumentation und Logging

  • Sind alle Richtlinien klar dokumentiert und gegenüber Mitarbeiter:innen wie Partnern klar publiziert?
  • Gibt es regelmäßige Schulungen/Erinnerungen, um die Richtlinien im Gedächtnis zu behalten?
  • Werden alle Zugriffe auf kritische Informationen mitgeloggt, sodass im Ernstfall rekonstruiert werden kann, wer wann welchen Fehler begangen hat?
  • Falls ja: Sind diese Logging Dateien gegenüber versehentlicher oder absichtlicher Veränderung/Löschung geschützt?

Die besten Richtlinien zum Umgang mit Bedrohungen helfen nichts, wenn Mitarbeiter:innen diese nicht kennen und befolgen. Daher ist es dringend notwendig, dass alle Richtlinien für die Mitarbeiter:innen zugänglich und verständlich sind. Außerdem müssen Sie Ihre Mitarbeiter:innen auch regelmäßig an die Einhaltung der Richtlinien erinnern.

Falls doch etwas schiefgeht, ist die schnelle Identifizierung des oder der Verantwortlichen wichtig. Daher ist es sinnvoll, alle Zugriffe und Berechtigungen aufzuzeichnen.

Aber an dem Thema IT-Compliance hängt noch #mea

Alle diese Punkte sind nur grobe Anhaltspunkte, die für Ihr Unternehmen in dieser Form ausreichend, zu wenig ausgestaltet oder gar nicht nötig sind. Sollten Sie an der Erfüllung von IT-Compliance-Richtlinien interessiert sein und einen Partner suchen, begleiten wir Sie gerne auf diesem Weg!

Newsletter-Anmeldung Business Mike

Newsletter mit #meawert