3. Checkliste Zugangskontrolle
Abkürzungen: erf. = erfüllt, nicht erf. = nicht erfüllt, nicht erfdl. = nicht erforderlich / nicht zutreffend
| Vorgabe | erf. | nicht erf. | nicht erfdl. | Bemerkungen | |
|---|---|---|---|---|---|
| Zugangskontrolle | |||||
| 3.1 | Passwortverfahren | ||||
| 3.1.1 | Forderung einer unterschiedlichen Zeichenzusammensetzung | x | Groß- und Kleinschreibung, Zahlen | ||
| 3.1.2 | Mindestlänge 8 Zeichen | x | > 8 Zeichen | ||
| 3.1.3 | Regelmäßiger Wechsel | x | 360 Tage | ||
| 3.1.4 | Erstanmeldeprozedur | x | Vergabe des ersten Passwortes durch Administratoren. Aufforderung zur Änderung durch System (GPO-Richtlinie) | ||
| 3.1.5 | Bildschirmsperre bei Pausen mit Passwort-Aktivierung | x | nach 5 Minuten | ||
| 3.1.6 | Zugangssperre bei mehr als 3 Anmeldeversuchen | x | Protokollierung über Eventlog / Zugriffsprotokoll | ||
| 3.1.7 | Passworthistorie | x | Historie 3 Passwörter | ||
| 3.1.8 | Verwendung Gruppen-Passwörter | x | Gruppen DTP & Druck gemeinsamer Zugriff, jedoch nicht auf personenbezogene Daten | ||
| 3.1.9 | Richtlinie, Merkblatt | x | |||
| 3.1.10 | Aufbewahrung Administrator-Passwörter | x | Administrator Passwörter sind den Administratoren bekannt und nicht dokumentiert | ||
| 3.1.11 | Einmal-Passwörter | x | |||
| 3.1.12 | BIOS-Passwörter | x | |||
| 3.1.13 | Boot-Passwörter | x | |||
| 3.1.14 | Single-Sign-On (SSO)? | x | Active Directory Anmeldung | ||
| 3.2 | Andere Verfahren | ||||
| 3.2.1 | Biometrische Verfahren (one-to-one) | x | |||
| 3.2.2 | Biometrische Verfahren (one-to-many) | x | |||
| 3.2.3 | Elektronische Signatur | x | z.T. im Email Verkehr, Clientseitig installiert | ||
| 3.2.4 | Chipkarten | x | PIN-Vergabe und -Änderung? | ||
| 3.2.5 | Magnetkarten | x | |||
| 3.2.6 | Transponderkarten | x | |||
| 3.3 | Protokollierung des Zugangs (An-/Abmeldung) | x | |||
| 3.4 | Verschlüsselung mobiler Datenträger/Festplatten | x | |||
| 3.5 | Zugang von außerhalb des Intranets | x | über verschlüsseltes Gateway | ||
| 3.6 | Wie erfolgt der Zugang ins Internet? | Glasfaser synchrone Anbindung, direkt über Router/Firewall | |||
| 3.6.1 | Kommunikationsserver | x | |||
| 3.6.2 | Proxy-Server | x | |||
| 3.6.2.1 | Vergabe der Accounts? | x | |||
| 3.6.2.2 | Verwaltung der Passwörter? | x | |||
| 3.6.3 | Wechsel des Betriebssystems | x | |||
| 3.6.4 | Wechsel zu einem Live-Betriebssystem (read only) | x | |||
| 3.6.5 | Stand-alone-PC | x | |||
| 3.6.6 | Ohne Schließen der aktiven Anwendung | x | |||
| 3.7 | Welcher Internet-Provider wird genutzt? | ||||
| 3.7.1 | Corporate Network | x | |||
| 3.7.2 | Internet-Provider (direkt) | x | Unitymedia | ||
| 3.7.3 | Dienstleister (Hosting) | x | Hosteurope | ||
| 3.8 | Verwendete Technik | ||||
| 3.8.1 | ISDN | x | |||
| 3.8.1.1 | Karte | x | |||
| 3.8.1.2 | Modem | x | |||
| 3.8.1.3 | Router | x | |||
| 3.8.2 | DSL | x | |||
| 3.8.2.1 | Karte | x | |||
| 3.8.2.2 | Modem | x | |||
| 3.8.2.3 | Router | x | Router / Firewall OPNSense & Bintec, Glasfaser-Direktanbindung | ||
| 3.9 | Firewall | ||||
| 3.9.1 | Betreuung durch Dienstleister | x | |||
| 3.9.2 | Zugriffsberechtigungskonzept | x | |||
| 3.9.3 | Verantwortlich für Regelwerk | x | GF | ||
| 3.9.3.1 | Änderungsberechtigungen | x | Änderung nur durch Geschäftsführer | ||
| 3.9.3.2 | Nachvollziehbarkeit von Regeländerungen | x | Dokumentation | ||
| 3.9.3.3 | Prüfung des Regelwerks | x | Geringes Regelwerk | ||
| 3.9.4 | Proxy-Server mit Software-Firewall | x | |||
| 3.9.5 | Software-Firewall | x | Trendmicro / Windows Firewall | ||
| 3.9.6 | Hardware-Firewall (Appliance) | x | |||
| 3.9.7 | Hersteller | x | |||
| 3.9.7.1 | Support und Wartung (Fernwartung?) | x | Keine Fremdwartung | ||
| 3.9.8 | Wie oft werden Updates installiert? | ||||
| 3.9.8.1 | Laufend, automatisiertes Verfahren | x | Clients, Windows Update Server | ||
| 3.9.8.2 | Laufend, manuell | x | Cluster-Nodes, Apple PCs | ||
| 3.9.9 | Wie werden Sicherheitslücken gehandhabt? | x | Trendmicro Security Advisor, OPENVAS | ||
| 3.9.9.1 | Benachrichtigung durch wen? automatisiert | ||||
| 3.9.9.1.1 | Regelmäßig, automatisiertes Verfahren | x | Trendmicro, OpenVAS, Auto-Updates | ||
| 3.9.9.1.2 | Regelmäßig, manuell | x | Monatlich, Security Updates auf Serverfarm | ||
| 3.9.9.1.3 | Manuell | x | |||
| 3.9.9.2 | Einspielung Sicherheitspatches | ||||
| 3.9.9.2.1 | Laufend, automatisiertes Verfahren | x | Clients | ||
| 3.9.9.2.2 | Laufend, manuell | x | Server, Clusternodes, Apple PCs | ||
| 3.9.10 | Getrennte Administration der Komponenten? | x | Betriebssystem, Firewall | ||
| 3.10 | Welcher Browser wird genutzt? | x | Mozilla, Internet Explorer, Safari, Chrome, Edge | ||
| 3.10.1 | Wie oft werden Sicherheitspatches und/oder Updates installiert? | ||||
| 3.10.1.1 | Laufend, automatisiertes Verfahren | x | laufend, Update Server, 2x täglich synchronisiert | ||
| 3.10.1.2 | Laufend, manuell | x | Apple PCs monatlich | ||
| 3.10.2 | Verwaltung der Konfiguration? | ||||
| 3.10.2.1 | Durch Administration | x | |||
| 3.10.2.2 | Durch Nutzer | x | IE: Sperrung durch Richtlinie | ||
| 3.11 | Werden Sicherheitseinstellungen durch Penetrationstests regelmäßig überprüft? | x | Ja, ca. alle 30 Tage openvas | ||
| 3.12 | Systemadministration | ||||
| 3.12.1 | Administrationsrichtlinie | x | |||
| 3.12.2 | Administratoren sind tätig… | ||||
| 3.12.2.1 | …hauptamtlich | x | |||
| 3.12.2.2 | …nebenamtlich | x | nur 2 Administratoren, GF + IT-Sicherheitsbeauftragter | ||
| 3.12.2.3 | …extern | x | |||
| 3.12.3 | Aufgabenbezogene systemtechnische Trennung bei mehreren Administratoren | x | |||
| 3.12.4 | Spezielle Passwortkonventionen zur Administration (abweichend von Nutzer-Passwörter) | x | |||
| 3.12.5 | Getrennte Benutzerkonten für Systemadministration, Sachbearbeitung, persönlichen Nutzungen | x | |||
| 3.12.6 | Anwendung des 4-Augen-Prinzips | x | |||
| 3.12.7 | Protokollierung der Administrationsarbeit | x | |||
| 3.12.7.1 | Protokoll-Server | x | |||
| 3.12.7.2 | Eigener Protokoll-Bereich | x | |||
| 3.12.7.3 | Vorkehrungen gegen Protokollmanipulation | x | |||
| 3.12.7.4 | Wer wertet Protokolle ggf. aus? | x | Anlassbezogen durch Administratoren | ||
| 3.12.8 | Sind Notfallpasswörter hinterlegt? | x | |||