IT-Security-Basics für Unternehmen

CC0 | Pixabay.com

Eine kurze Checkliste für IT-Sicherheit im Unternehmensumfeld.

Geeigneter Betriebsort

  • Netzwerk und Server physisch/digital nur dem verantwortlichen IT-Personal zugänglich
  • entsprechend notwendige Internetanbindung verfügbar (z.B. Glasfaser)
  • Redundante, regelmäßig gewartete Klimiatisierung (Server, Storage: redundant klimatisiert, Switch: Luftzirkulation)
  • Luftqualität (Luftfeuchtigkeit, Luftverschmutzung, Staub) geeignet
  • Strom (redundante Anbindung, evtl. Dieselgenerator)
  • Wassergeschützt (Hochwasser, Wasserleitungen etc.)
  • Von außen unscheinbar (Angriffsfläche für Diebe, Vandalismus reduzieren)

Netzwerk generell

  • Redundanter, fehlertoleranter Netzwerkaufbau (sowohl Verkabelung als auch Router/Switches!)
  • Backend-Systeme abkapseln (z.B. eigener, geschützter Netzwerkbereich)
  • Network Access Control (NAC)

Kabelgebundenes Netzwerk

  • Router/Switches: einheitliche Marke und Produktlinie, möglichst zentral gemanagt
  • Netzwerkverkabelung zwischen den Switches via Glasfaser oder min. CAT6a-Kupfer (gebündelt mit Trunking bzw. Link-Aggregation)
  • Netzwerk in VLANs unterteilt

Drahtloses Netzwerk

  • Einheitliche, zentral gemanagte WLAN-Accesspoints
  • Netzwerkzugriff idealerweise über Zertifikate statt WPA-Schlüssel
  • Gäste-WLAN führt nicht ins Firmennetzwerk und ist reglementiert (Captive Portal, nur notwendigste Netzwerkdienste)

Server-Hardware

  • Server-Hardware (= Dauerbetrieb geeignet) eines etablierten Server-Herstellers
  • regelmäßige, zeitnahe BIOS- und Firmware-Aktualisierung
  • redundante Netzteile
  • redundante Netzwerkanbindung (NIC-Teaming)
  • fehlertolerantes Speichersystem (RAID)
  • geeigneter Wartungsvertrag und/oder ausreichend Ersatz-Teile/Server sofort verfügbar
  • geregelter Austausch (Lifecycle)

Server-Virtualisierung

  • Virtuelle Server in Cluster
  • Cluster besteht aus min. 3 Knoten (mit gleicher Hardwareaustattung)
  • Betrieb mit 2 verbleibenden Knoten uneingeschränkt möglich
  • SAN-Storage mehrfach an jeden Virtualisierungsknoten angebunden
  • Cluster kommuniziert in eigenen Netzwerken (z.B.: Livemigration, Storage…)

Server und Serverdienste

  • Betriebssystem aktuell und mit Updates gepflegt
  • Nicht unnötig Serverdienste auf einen Server kombinieren
  • Generell: je Server ein Dienst (z.B.: AD, File, Print, SQL…)
  • Serverdienste restriktiv konfiguriert

Stromversorgung

  • Regelmäßig gewartete USV
  • redundante Netzteile

AntiVirus

  • Server mit AntiVirus-Software ausgestattet
  • Virtualisierungsknoten ohne Anti-Virus
  • Scan-Ausschlüsse definiert (z.B. SQL-Datenbankdateien)

Firewall

  • Restriktiv konfigurierte UTM bzw. NextGen-Firewall inkl. Intrusion Prevention (IPS), evtl. im Cluster
  • Ausführliche Logs

Backup

  • Tägliches Backup (System und Daten)
  • Backup in anderem Brandabschnitt
  • Bandsicherung mit besonders unternehmenskritischen Daten außer Haus
  • Generationenprinzip (GVS)
  • regelmäßige Wiederherstellungstests
  • Hot/Cold Site

Monitoring & Alarmierung

  • Serverhardware und wichtige Serverdienste informieren die zuständigen Administratoren per Mail oder wenn kritisch per SMS
  • Monitoringtools überwachen generelle Server, Netzwerk und Client-Aktivitäten
  • Physische Überwachung (Zutritt, Klimatisierung, Wassereintritt…)

Passwörter

Dokumentation

  • Geräte und Kabel beschriftet
  • Netzwerkverkabelung und angeschlossene Geräte in Netzwerkplan erfasst
  • Switchkonfigurationen dokumentiert und exportiert
  • Server und Serverdienste erfasst
  • Installationsanleitungen für komplexe Konfigurationen verfasst
  • Konfigurationsänderungen dokumentiert (vorher/nachher)
  • Lizenzen (installiert/verfügbar) erfasst
  • Notfallpläne (Disaster Recovery) verfügbar (digital und gedruckt) und funktionieren (regelmäßige Tests)

IT-Management & Personal

  • Qualifiziertes, regelmäßig geschultes, verantwortungsbewusstes IT-Fachpersonal
  • ITIL, COBIT oder ähnliches im Einsatz
  • gelebtes Projektmanagement
  • Sicherheitsrichtlinie verfasst, laufend geschult und getestet
  • Klare Abläufe, Pläne, Prozesse, Regeln und Zuständigkeiten (IT-Compliance/Governance)

Mitarbeiter und Mitarbeiter-Geräte

  • Geschulte und sensibilisierte Mitarbeiter (z.B. Phishing-Mails erkennen)
  • Mitarbeiter melden Verdächtiges (IT-Notfallkarte aushängen!)
  • Daten werden auf Servern gespeichert bzw. synchronisiert (Backup!)
  • Geräte sind soweit möglich eingeschränkt (z.B.: keine Adminrechte)
  • Software wird aktuell gehalten (z.B.: Adobe Reader, Office, Java…)
  • AntiVirus und Firewall vorhanden
  • USB-Sticks wenn möglich gesperrt
  • Makros wenn möglich gesperrt
  • Softwareeinschränkungen wenn möglich gesetzt (nicht jede Programmdatei ausführbar)
  • Betriebssystem aktuell und mit Updates gepflegt
  • Verschlüsselung mobiler Systeme (Laptop, Smartphone, Tablets)

Mehr

Diese Checkliste hat keinen Anspruch auf Vollständigkeit! Für weitere Informationen empfehle ich die BSI IT Grundschutzkataloge und vergleichbare Projekte.

nach oben