Gradient

Fragenliste A-Rating

ID
Frage
Anforderungskriterium
B1
Frage
Haben sie eine aktuelle Informationssicherheitsrichtlinie (bzw. IT-Sicherheitsrichtlinie), die für ihr Unternehmen gültig ist?
Anforderungskriterium

Die Informationssicherheitsrichtlinie muss die wesentlichen Anforderungen an Informationssicherheit abdecken (alle Kernthemen müssen - sofern sie anwendbar sind - in dieser Richtlinie beschrieben werden) und sollte auf ein bestehendes Regelwerk aufbauen (zB. ISO 27001/27002, NIST 800, ITGrundschutz, IT-Sicherheitshandbuch der WKO u.ä.). Die Richtlinie muss von der Geschäftsführung freigegeben und für alle Mitarbeiter verfügbar sein.

B2
Frage
Schulen Sie Ihre Mitarbeiter regelmäßig in Informationssicherheit?
Anforderungskriterium

Die Schulung muss die Inhalte der Informationssicherheitsrichtlinie umfassen und auf aktuelle Bedrohungen eingehen. Die Inhalte müssen zumindest folgende Themen umfassen:

  • Sicherer Umgang mit Computern und Informationen
  • Passwörter richtig auswählen und verwalten
  • Sicher im Internet (zB. Nutzung von Firmendaten in KI Diensten und sozialen Netzen)
  • E-Mails, Spam und Phishing -Gefährliche Schadprogramme
  • Verhalten und Vorgehen bei Verdacht auf IT-Sicherheitsvorfall

Eine vollständige Schulung muss zumindest beim Eintritt stattfinden und aktualisierte Information muss zumindest alle zwei Jahre kommuniziert werden.

B3
Frage
Gibt es in ihrem Unternehmen eine oder mehrere benannte Personen, die für das Thema Informationssicherheit zuständig sind?
Anforderungskriterium

Es muss zumindest eine benannte Person geben, die für das Thema Informationssicherheit zuständig ist, d.h. die Richtlinie erstellt und sich um die Umsetzung der Maßnahmen kümmert und dafür die notwendige Zeit zur Verfügung gestellt bekommt. Diese Person muss das notwendige fachliche Grundwissen zu den Themen haben und sich laufend über Cyberrisken informieren. Diese Tätigkeit kann neben anderen Tätigkeiten ausgeübt werden oder auch von Externen im Auftrag des Unternehmens wahrgenommen werden.

B4
Frage
Pflegen sie regelmäßig ein Verzeichnis all ihrer IT-Assets und -Services (inkl. Cloud-Dienste) sowie der damit verbundenen Verantwortlichkeiten?
Anforderungskriterium
  • Es muss ein Verzeichnis aller verwendeten IT-Assets (Systeme, Dienste - Cloud und on premise) geben. Dieses Verzeichnis muss zumindest Name und Version des Systems enthalten und den dafür Verantwortlichen.
  • Das Verzeichnis muss vollständig und aktuell gehalten werden.
B5
Frage
Verwalten sie den Zugang zu ihren Systemen nach einem Berechtigungskonzept, das jedem nur die für seine Arbeit notwendigen Rechte einräumt?
Anforderungskriterium
  • Sowohl der Zugang zu den Anwendungen als auch zu den Dateisystemen muss reglementiert sein und über korrekt gesetzte Berechtigungen sichergestellt werden, dass nur die Personen zugreifen können, die aufgrund ihres Jobprofils einen Bedarf dafür haben.
  • Es gibt eine Vorgehensweise zur Vergabe und Entzug von Berechtigungen.
B6
Frage
Verlangen sie von ihren Mitarbeitern für alle Anwendungen Passwörter mit einer sicheren Mindeststärke zu verwenden?
Anforderungskriterium

Es muss klar beschriebene Mindestkriterien für Passwörter geben, die die Empfehlungen aktueller Standards umsetzen (Passwortstärke, Zweifaktor-Authentifizierung wo notwendig und sinnvoll, Trennung Passworte, etc.). Referenz: BSI, NIST 800, etc.

B7
Frage
Verwenden sie die vom Hersteller empfohlenen Sicherheitseinstellungen und achten sie auf eine sichere Konfiguration all ihrer IT-Systeme?
Anforderungskriterium

Es muss ein Dokument geben, dass die Anforderungen an die sichere Konfiguration der eingesetzten Systeme beschreibt. Verweise auf Herstellerempfehlungen sind ausreichend. Diese Einstellungen müssen auch auf allen verwendeten Geräten - soweit technisch möglich - tatsächlich umgesetzt sein. Alternativ wird ein Abnahmescan vor Inbetriebnahme durchgeführt.

B8
Frage
Überprüfen sie - sofern vorhanden - individuell entwickelte, aus dem Internet zugängliche Anwendungen auf Sicherheitslücken vor Inbetriebnahme?
Anforderungskriterium

Individualsoftware (zB. angepasste Open-Source-Software, aber nicht Standardsoftware), die aus dem Internet erreichbar ist, muss vor Inbetriebnahme durch einen - auf die Individualsoftware angepassten - Penetration Test auf Schwachstellen geprüft werden.

B9
Frage
Aktualisieren Sie all Ihre IT-Systeme und Anwendungen regelmäßig mit Sicherheitsupdates?
Anforderungskriterium
  • Regelmäßige Aktualisierung der Systeme mit Updates, die vom Hersteller zur Verfügung gestellt werden. Kein Systemupdate darf länger als ein Quartal überfällig sein (außer es gibt einen dokumentierten Grund, warum ein Update nicht eingesetzt werden kann)​​
  • Systeme, die nicht mehr vom Hersteller mit Sicherheitsupdates versorgt werden, werden rechtzeitig außer Betrieb genommen bzw. es gibt definierte Ausnahmeprozesse inklusive einer Abweichungsliste.
B10
Frage
Sichern sie ihr Netzwerk vor unberechtigtem Zugriff von Außen ab?
Anforderungskriterium

Es ist eine Netzwerk-Segmentierungseinrichtung (zB. Firewall, Router, etc.) im Einsatz, welche auf Basis möglichst restriktiv gesetzter Regeln den Netzwerkverkehr aus dem Internet in das interne Netzwerk beschränkt.

B11
Frage
Überwachen Sie Ihre IT-Systeme auf Malware?
Anforderungskriterium

Es muss zumindest eine Antivirussoftware im Einsatz sein, welche laufend die Systeme und Dateien auf Schadsoftware überprüft. Die Software muss laufend aktualisiert werden und diese Aktualisierung zumindest einmal monatlich zentral geprüft werden. Im Verdachtsfall erfolgt eine Alarmierung im Unternehmen.

B12
Frage
Verschlüsseln Sie sensible Daten bei der Übertragung im Internet?
Anforderungskriterium
  • Es muss die Möglichkeit bestehen, Dateien verschlüsselt zu übertragen, entweder per eMail (zB. S/MIME, PDF verschlüsselt, mandatory enforced TLS, etc.) oder per verschlüsseltem Upload.​
  • Formulare auf der Webseite werden ausschließlich über https hochgeladen.
B13
Frage
Protokollieren Sie die Nutzung Ihrer IT-Systeme, um Sicherheitsvorfälle nachvollziehbar zu machen?
Anforderungskriterium
  • Es müssen zumindest die Standardprotokolle der Betriebssysteme aktiviert sein. Die Protokolle müssen dem Unternehmen zur Verfügung stehen.
  • Es existiert eine Übersicht aller aktiven Systemprotokolle und deren Speicherort.​
  • Die Protokolle werden zumindest drei Monate aufbewahrt.
B14
Frage
Haben Sie einen Notfallplan, anhand dessen Sie auf einen IT-Sicherheitsvorfall reagieren?
Anforderungskriterium

Der Notfallplan muss beschreiben, wie auf einen schwerwiegenden IT-Sicherheitsvorfall reagiert wird. Schwerwiegende Sicherheitsvorfälle sind zum Beispiel:

  • Ausfall der Systeme,
  • Schadsoftware-Befall (inkl. Kryptolocker) sowie ​
  • Data Leakage​

Die Pläne müssen mindestens alle zwei Jahre getestet werden. Der Test muss zumindest die Daten- und Servicewiederherstellung umfassen.

A1
Frage
Überprüfen sie IT-Systeme in ihrem Netzwerk auf Sicherheitslücken?
Anforderungskriterium
  • Ein Tool zum Schwachstellenscannen muss im Einsatz sein und muss mindestens einmal pro Monat verwendet werden.
  • Der Scan muss den gesamten IP-Range der internen IT-Netze sowie aus dem Internet erreichbare IT-Systeme prüfen. Dabei müssen auch nicht-authorisierte Geräte identifiziert werden.
  • Aus den gefundenen Sicherheitslücken werden Maßnahmen abgeleitet und umgesetzt.
A2
Frage
Haben sie Mechanismen im Einsatz, die bei der Erstellung bzw. dem Erwerb von individuell entwickelter Software deren Sicherheit überprüfen?
Anforderungskriterium

Es gibt eine Policy zur sicheren Software-Entwicklung, welche Sicherheitsanforderungen, Secure-Coding-Rules sowie ein Testkonzept umfasst. Die Policy zur sicheren Software- Entwicklung muss (spätestens ab 2025) auch das Thema Software Bill of Materials (SBOM) adressieren. Für den Erwerb von Software gibt es eine Sicherheitsanforderungsliste und einen Prozess zur Risikoanalyse des Anbieters/Herstellers.

A3
Frage
Führen Sie in ihrer Systemlandschaft Penetration Tests durch?
Anforderungskriterium
  • Zumindest alle zwei Jahre werden Penetration Tests durchgeführt, welche die Angreifbarkeit des Unternehmens prüfen.
  • Aus den gefundenen Schwachstellen werden Maßnahmen abgeleitet und umgesetzt.
A4
Frage
Überwachen Sie ihre Netzwerke auf ungewöhnliche Aktivitäten und Anomalien?
Anforderungskriterium

Es muss mindestens eine Technologie im Einsatz sein, die in der Lage ist, in der Systemlandschaft (Netzwerk, Endpoint, Clients, Server, Cloud) Intrusions oder Anomalien zu erkennen und zentral zu melden.

A5
Frage
Haben sie Whitelisting und Cloud Access Security Broker (CASB) im Einsatz, um die Ausführung nicht autorisierter Prozesse und Anwendungen zu unterbinden?
Anforderungskriterium

Auf allen Clients und Servern muss eine Technologie aktiv sein, damit nur freigegebene Prozesse und Anwendungen ausgeführt werden können. Für Cloud-Dienste ist ein CASB im Einsatz, um nur freigegebene Cloud-Anwendungen ausführen zu können. Nicht bekannte Aktivitäten werden verhindert, gemeldet und den Meldungen wird nachgegangen.

A6
Frage
Schützen sie Identitäten, Zugriffe und Berechtigungen in geeigneter und nachvollziehbarer Weise?
Anforderungskriterium
  • Eine Identitäts- und Berechtigungsverwaltung ist im Einsatz, die alle Identitäten und deren Berechtigungen eindeutig auf Personenbasis nachvollziehbar macht.
  • Die Berechtigungsverwaltung muss auch administrative Berechtigungen sowie Berechtigungen für Zugänge zu Kundensystemen umfassen.
  • Verwendung von Multifaktor-Authentifizierung insbesondere für von extern erreichbaren Systemen wie zB. VPN, Jumphosts, Remote Support Tools, Webmail und andere Webservices.
A7
Frage
Haben sie Technologie im Einsatz, die die Log Files ihrer Systeme automatisiert korreliert und analysiert?
Anforderungskriterium

Es ist eine Technologie (zB. SIEM) im Einsatz, an die zumindest die kritischen Netzwerk- und Sicherheitssysteme angeschlossen sind und deren Logfiles laufend korreliert und auf Unregelmäßigkeiten analysiert werden.

A8
Frage
Haben oder nutzen Sie ein Security Operations Team?
Anforderungskriterium
  • Die notwendigen qualifizierten Daten für das Monitoring müssen zur Verfügung stehen.
  • Es müssen Mitarbeiter mit nachgewiesenen Qualifikationen im Bereich IT-Sicherheit im Unternehmen beschäftigt sei, die die laufende Überwachung als Hauptaufgabe wahrnehmen oder es muss ein SLA/Vertrag mit einem entsprechenden Unternehmen bestehen, das die laufende Überwachung übernimmt.
  • Verdachtsfälle müssen untersucht werden und bei bestätigten Vorfällen muss eine Alarmierung stattfinden sowie – sofern relevant – betroffene Kunden informiert werden.
A9
Frage
Können sie bei einem schwerwiegenden Sicherheitsvorfall auf qualifizierte Ressourcen zurückgreifen?
Anforderungskriterium

Es müssen Mitarbeiter mit nachgewiesenen Qualifikationen in den Bereichen vertiefte Incident Response und IT-Forensik im Unternehmen beschäftigt sein oder es muss ein SLA/Vertrag mit einem entsprechenden Unternehmen bestehen, bzw. der Zugriff auf ein solches muss über eine Cyberversicherung gedeckt sein.

A10
Frage
Stellen sie über ein getestetes Resilienzkonzept oder eine resiliente Architektur ihre Betriebskontinuität sicher?
Anforderungskriterium
  • Das Resilienzkonzept muss präventive und reaktive Maßnahmen umfassen, um auf schwere Sicherheitsvorfälle reagieren zu können und somit Betriebskontinuität sicherzustellen. Schwerwiegende Sicherheitsvorfälle sind unter anderem:
    • Ausfall der Systeme (inkl. Stromausfall, Ausfall der Internetanbindung)
    • Schadsoftwarebefall (inkl. Kryptolocker)
    • Data Leakage
    • Zielgerichtete Hackingangriffe (z.B. APTs)
  • Bei Betrieb kritischer Anwendungen in der Cloud müssen diese Maßnahmen und Tests vom Cloud-Betreiber nachgewiesen werden (zB. über ISAE 3402-Berichte).
  • Tests müssen mindestens einmal jährlich durchgeführt und notwendige Verbesserungsmaßnahmen umgesetzt werden.
A11
Frage
Haben sie einen Prozess zum Management ihrer Lieferantenrisiken?
Anforderungskriterium

Es muss einen dokumentierten Prozess geben, welcher vorab und laufend sicherstellt, dass Lieferanten ihre Cyberrisiken ebenfalls angemessen managen.