Eine kurze Checkliste für IT-Sicherheit im Unternehmensumfeld.
Inhaltsverzeichnis
Geeigneter Betriebsort
- Netzwerk und Server physisch/digital nur dem verantwortlichen IT-Personal zugänglich
- entsprechend notwendige Internetanbindung verfügbar (z.B. Glasfaser)
- Redundante, regelmäßig gewartete Klimiatisierung (Server, Storage: redundant klimatisiert, Switch: Luftzirkulation)
- Luftqualität (Luftfeuchtigkeit, Luftverschmutzung, Staub) geeignet
- Strom (redundante Anbindung, evtl. Dieselgenerator)
- Wassergeschützt (Hochwasser, Wasserleitungen etc.)
- Von außen unscheinbar (Angriffsfläche für Diebe, Vandalismus reduzieren)
Netzwerk generell
- Redundanter, fehlertoleranter Netzwerkaufbau (sowohl Verkabelung als auch Router/Switches!)
- Backend-Systeme abkapseln (z.B. eigener, geschützter Netzwerkbereich)
- Network Access Control (NAC)
Kabelgebundenes Netzwerk
- Router/Switches: einheitliche Marke und Produktlinie, möglichst zentral gemanagt
- Netzwerkverkabelung zwischen den Switches via Glasfaser oder min. CAT6a-Kupfer (gebündelt mit Trunking bzw. Link-Aggregation)
- Netzwerk in VLANs unterteilt
Drahtloses Netzwerk
- Einheitliche, zentral gemanagte WLAN-Accesspoints
- Netzwerkzugriff idealerweise über Zertifikate statt WPA-Schlüssel
- Gäste-WLAN führt nicht ins Firmennetzwerk und ist reglementiert (Captive Portal, nur notwendigste Netzwerkdienste)
Server-Hardware
- Server-Hardware (= Dauerbetrieb geeignet) eines etablierten Server-Herstellers
- regelmäßige, zeitnahe BIOS- und Firmware-Aktualisierung
- redundante Netzteile
- redundante Netzwerkanbindung (NIC-Teaming)
- fehlertolerantes Speichersystem (RAID)
- geeigneter Wartungsvertrag und/oder ausreichend Ersatz-Teile/Server sofort verfügbar
- geregelter Austausch (Lifecycle)
Server-Virtualisierung
- Virtuelle Server in Cluster
- Cluster besteht aus min. 3 Knoten (mit gleicher Hardwareaustattung)
- Betrieb mit 2 verbleibenden Knoten uneingeschränkt möglich
- SAN-Storage mehrfach an jeden Virtualisierungsknoten angebunden
- Cluster kommuniziert in eigenen Netzwerken (z.B.: Livemigration, Storage…)
Server und Serverdienste
- Betriebssystem aktuell und mit Updates gepflegt
- Nicht unnötig Serverdienste auf einen Server kombinieren
- Generell: je Server ein Dienst (z.B.: AD, File, Print, SQL…)
- Serverdienste restriktiv konfiguriert
Stromversorgung
- Regelmäßig gewartete USV
- redundante Netzteile
AntiVirus
- Server mit AntiVirus-Software ausgestattet
- Virtualisierungsknoten ohne Anti-Virus
- Scan-Ausschlüsse definiert (z.B. SQL-Datenbankdateien)
Firewall
- Restriktiv konfigurierte UTM bzw. NextGen-Firewall inkl. Intrusion Prevention (IPS), evtl. im Cluster
- Ausführliche Logs
Backup
- Tägliches Backup (System und Daten)
- Backup in anderem Brandabschnitt
- Bandsicherung mit besonders unternehmenskritischen Daten außer Haus
- Generationenprinzip (GVS)
- regelmäßige Wiederherstellungstests
- Hot/Cold Site
Monitoring & Alarmierung
- Serverhardware und wichtige Serverdienste informieren die zuständigen Administratoren per Mail oder wenn kritisch per SMS
- Monitoringtools überwachen generelle Server, Netzwerk und Client-Aktivitäten
- Physische Überwachung (Zutritt, Klimatisierung, Wassereintritt…)
Passwörter
- Sichere Passwörter
- Passwörter sicher dokumentiert (digital in Passwortsafe und gedruckt im Safe)
- Mehr zum Thema Passwörter
Dokumentation
- Geräte und Kabel beschriftet
- Netzwerkverkabelung und angeschlossene Geräte in Netzwerkplan erfasst
- Switchkonfigurationen dokumentiert und exportiert
- Server und Serverdienste erfasst
- Installationsanleitungen für komplexe Konfigurationen verfasst
- Konfigurationsänderungen dokumentiert (vorher/nachher)
- Lizenzen (installiert/verfügbar) erfasst
- Notfallpläne (Disaster Recovery) verfügbar (digital und gedruckt) und funktionieren (regelmäßige Tests)
IT-Management & Personal
- Qualifiziertes, regelmäßig geschultes, verantwortungsbewusstes IT-Fachpersonal
- ITIL, COBIT oder ähnliches im Einsatz
- gelebtes Projektmanagement
- Sicherheitsrichtlinie verfasst, laufend geschult und getestet
- Klare Abläufe, Pläne, Prozesse, Regeln und Zuständigkeiten (IT-Compliance/Governance)
Mitarbeiter und Mitarbeiter-Geräte
- Geschulte und sensibilisierte Mitarbeiter (z.B. Phishing-Mails erkennen)
- Mitarbeiter melden Verdächtiges (IT-Notfallkarte aushängen!)
- Daten werden auf Servern gespeichert bzw. synchronisiert (Backup!)
- Geräte sind soweit möglich eingeschränkt (z.B.: keine Adminrechte)
- Software wird aktuell gehalten (z.B.: Adobe Reader, Office, Java…)
- AntiVirus und Firewall vorhanden
- USB-Sticks wenn möglich gesperrt
- Makros wenn möglich gesperrt
- Softwareeinschränkungen wenn möglich gesetzt (nicht jede Programmdatei ausführbar)
- Betriebssystem aktuell und mit Updates gepflegt
- Verschlüsselung mobiler Systeme (Laptop, Smartphone, Tablets)
Mehr
Diese Checkliste hat keinen Anspruch auf Vollständigkeit! Für weitere Informationen empfehle ich die BSI IT Grundschutzkataloge und vergleichbare Projekte.