Fragenliste A-Rating

Kriterium FrageblockFrageAnforderungskriterium
B1Governance und ÖkosystemHaben sie eine aktuelle Informationssicherheitsrichtlinie (bzw. IT-Sicherheitsrichtlinie), die für ihr Unternehmen gültig ist?Die Informationssicherheitsrichtlinie muss die wesentlichen Anforderungen an Informationssicherheit und Datenschutz abdecken (alle Kernthemen müssen - sofern sie anwendbar sind - in dieser Richtlinie beschrieben werden) und sollte auf ein bestehendes Regelwerk aufbauen (zB. ISO 27002, NIST 800, IT Grundschutz, IT-Sicherheitshandbuch der WKO, u.ä.). Die Richtlinie muss von der Geschäftsführung freigegeben und für Mitarbeiter verfügbar sein
B2Governance und ÖkosystemSchulen Sie Ihre Mitarbeiter regelmäßig in IT-Sicherheit und Datenschutz?Die Schulung muss die Inhalte der Informationssicherheitsrichtlinie umfassen und auf aktuelle Bedrohungen eingehen. Die Inhalte müssen zumindest folgende Themen umfassen:
  • Sicherer Umgang mit Computern und Informationen (inkl. Datenschutz)
  • Passwörter richtig auswählen und verwalten
  • Sicher im Internet
  • E-Mails, Spam und Phishing
  • Gefährliche Schadprogramme
  • Verhalten und Vorgehen bei Verdacht auf IT Sicherheitsvorfall
Eine vollständige Schulung muss zumindest beim Eintritt stattfinden und aktualisierte Information muss zumindest alle zwei Jahre kommuniziert werden.
B3Governance und ÖkosystemGibt es in ihrem Unternehmen eine oder mehrere Personen, die für das Thema Informationssicherheit und Datenschutz zuständig sind?Es muss zumindest eine namentlich benannte Person geben, die für das Thema Informationssicherheit & Datenschutz zuständig ist, d.h. die Richtlinie erstellt und sich um die Umsetzung der Maßnahmen kümmert und dafür die notwendige Zeit zur Verfügung gestellt bekommt. Diese Person muss das notwendige fachliche Grundwissen zu den Themen haben. Diese Tätigkeit kann neben anderen Tätigkeiten ausgeübt werden oder auch von Externen im Auftrag des Unternehmens wahrgenommen werden.​
B4SchutzPflegen Sie regelmäßig ein Verzeichnis all Ihrer Datenverarbeitungsprozesse, IT-Systeme und der damit verbundenen Verantwortlichkeiten?Es muss ein Verzeichnis aller verwendeten Systeme und aller (nicht nur personenbezogener) datenverarbeitenden Prozesse geben. Dieses Verzeichnis muss zumindest Name und Version des Systems enthalten und den dafür Verantwortlichen.
B5SchutzVerwalten sie den Zugang zu ihren Systemen nach einem Berechtigungskonzept, das jedem nur die für seine Arbeit notwendigen Rechte einräumt?Sowohl der Zugang zu den Anwendungen als auch zu den Dateisystemen muss reglementiert sein und über korrekt gesetzte Berechtigungen sichergestellt werden, dass nur die Personen zugreifen können, die aufgrund ihres Jobprofils einen Bedarf dafür haben.
B6SchutzVerlangen sie von ihren Mitarbeitern für alle Anwendungen Passwörter mit einer sicheren Mindeststärke zu verwenden?Es muss klar beschriebene Mindestkriterien für Passwörter geben, die die Empfehlungen aktueller Standards umsetzen (Passwortstärke, Zweifaktor-Authentifizierung wo notwendig und sinnvoll, Trennung Passworte, etc.). Referenz: BSI, NIST 800, etc.
B7SchutzVerwenden sie die vom Hersteller empfohlenen Sicherheitseinstellungen und achten sie auf eine sichere Konfiguration all ihrer IT-Systeme?Es muss ein Dokument geben, dass die Anforderungen an die sichere Konfiguration der eingesetzten Systeme beschreibt. Verweise auf Herstellerempfehlungen sind ausreichend. Diese Einstellungen müssen auch auf allen verwendeten Geräten - soweit technisch möglich - tatsächlich umgesetzt sein.
B8SchutzÜberprüfen sie - sofern vorhanden - individuell entwickelte, aus dem Internet zugängliche Anwendungen auf Sicherheitslücken vor Inbetriebnahme?Individualsoftware, die aus dem Internet erreichbar ist, muss zumindest vor Inbetriebnahme durch einen Penetration Test auf Schwachstellen geprüft werden.
B9SchutzAktualisieren Sie all Ihre IT-Systeme und Anwendungen regelmäßig mit Sicherheitsupdates?
  • Regelmäßige Aktualisierung der Systeme mit Updates, die vom Hersteller zur Verfügung gestellt werden. Kein Systemupdate darf länger als ein Quartal überfällig sein (außer es gibt einen dokumentierten Grund, warum ein Update nicht eingesetzt werden kann).​​
  • Systeme, die nicht mehr vom Hersteller mit Sicherheitsupdates versorgt werden, werden rechtzeitig außer Betrieb genommen.
B10SchutzSichern sie ihr Netzwerk vor unberechtigtem Zugriff von Außen ab?Es ist eine Netzwerk-Segmentierungseinrichtung (zB. Firewall, Router, etc.) im Einsatz, welche auf Basis möglichst restriktiv gesetzter Regeln den Netzwerkverkehr mit dem Internet filtert.
B11SchutzÜberwachen Sie Ihre IT-Systeme auf Malware und IT-Sicherheitsvorfälle?Es muss zumindest eine aktuelle Antivirussoftware im Einsatz sein, welche laufend die Systeme und Dateien auf Schadsoftware überprüft. Im Verdachtsfall erfolgt eine Alarmierung im Unternehmen.
B12SchutzVerschlüsseln Sie sensible Daten bei der Übertragung im Internet?
  • Es muss die Möglichkeit bestehen, Dateien verschlüsselt zu übertragen, entweder per eMail (zB. S/MIME oder PDF verschlüsselt) oder per verschlüsseltem Upload. ​
  • Formulare auf der Webseite werden ausschließlich über https hochgeladen.
B13VerteidigungProtokollieren Sie die Nutzung Ihrer IT-Systeme, um Malware und IT-Sicherheitsvorfälle nachvollziehbar zu machen?
  • Es müssen zumindest die Standardprotokolle der Betriebssysteme aktiviert sein. Die Protokolle müssen dem Unternehmen zur Verfügung stehen.
  • Es existiert eine Übersicht aller aktiven Systemprotokolle und deren Speicherort.​
  • Die Protokolle werden zumindest drei Monate aufbewahrt.
B14VerteidigungHaben Sie einen Notfallplan, anhand dessen Sie auf einen IT-Sicherheitsvorfall reagieren?Der Notfallplan inklusive Backupkonzept muss beschreiben, wie auf einen schwerwiegenden IT-Sicherheitsvorfall reagiert wird. Schwerwiegende Sicherheitsvorfälle sind zum Beispiel:​
  • Ausfall der Systeme,
  • Schadsoftware-Befall (inkl. Kryptolocker) sowie ​
  • Data Leakage​
Die Pläne müssen mindestens alle zwei Jahre getestet werden.
A1SchutzÜberprüfen sie ihre eingesetzte Software auf Sicherheitslücken?Ein Tool zum Schwachstellenscannen muss im Einsatz sein und muss mindestens einmal pro Monat verwendet werden.
A2SchutzHaben Sie Mechanismen im Einsatz, die bei der Erstellung bzw. dem Erwerb von Software deren Sicherheit überprüft?Es gibt eine Policy zur sicheren Software-Entwicklung, welche Sicherheitsanforderungen, Secure Coding Rules sowie ein Testkonzept umfasst. Für den Erwerb von Software gibt es eine Sicherheits-Anforderungsliste und einen Prozess zur Risikoanalyse des Anbieters.
A3SchutzFühren Sie in ihrer Systemlandschaft Penetration Tests durch?Zumindest alle zwei Jahre werden Penetration Tests durchgeführt, welche die Angreifbarkeit des Unternehmens prüfen.
A4SchutzÜberwachen Sie ihre Netzwerke auf ungewöhnliche Aktivitäten und Anomalien?s muss mindestens ein Intrusion Detection / Prevention System im Einsatz sein, das entweder über Baselining-Ansatz oder über heuristische Prozesse bzw. Machine Learning Verdacht auf unautorisierte Aktivitäten im Netzwerk identifizieren kann.
A5SchutzHaben Sie Whitelisting im Einsatz, um die Ausführung nicht autorisierter Prozesse und Anwendungen zu unterbinden?Auf allen Systemen (Clients/Servern) muss ein Mechanismus aktiv sein, der nur freigegebene Prozesse und Anwendungen ausführen lässt
A6SchutzVerwalten sie Identitäten und Berechtigungen aller Benutzer in nachvollziehbarer Weise?
  • Ein Identitäts- und Berechtigungsverwaltung ist im Einsatz, die alle Identitäten und deren Berechtigungen eindeutig auf Personenbasis nachvollziehbar macht.​
  • Die Berechtigungsverwaltung muss auch administrative Berechtigungen sowie Berechtigungen für Zugänge zu Kundensystemen umfassen.
A7VerteidigungHaben Sie ein Security Event & Information Management im Einsatz, das die Log Files ihrer Systeme korreliert und analysiert?Es ist ein SIEM im Einsatz, an das zumindest die kritischen Netzwerk- und Sicherheitssysteme angeschlossen sind und deren Logfiles laufend korrelierte und auf Unregelmäßigkeiten analysiert werden.
A8VerteidigungHaben Sie ein Security Operations Team?
  • Es müssen Mitarbeiter mit nachgewiesenen Qualifikationen im Bereich IT-Sicherheit im Unternehmen beschäftigt sein oder es muss ein SLA mit einem entsprechenden Unternehmen bestehen, das die laufende Überwachung übernimmt.​
  • Verdachtsfälle müssen untersucht werden und bei bestätigten Vorfällen muss eine Alarmierung stattfinden sowie – sofern relevant – betroffene Kunden informiert werden.
A9VerteidigungKönnen Sie auf qualifizierte Ressourcen zurückgreifen, wenn Sie einen schwerwiegenden Sicherheitsvorfall haben?Es müssen Mitarbeiter mit nachgewiesenen Qualifikationen im Bereich IT-Forensik im Unternehmen beschäftigt sein oder es muss ein SLA mit einem entsprechenden Unternehmen bestehen, bzw. der Zugriff auf ein solches muss über eine Cyberversicherung gedeckt sein.
A10ResilienzVerfügen Sie über ein getestetes Resilienzkonzept, das ihre Betriebskontinuität sicherstellt?Das Resilienzkonzept muss präventive und reaktive Maßnahmen umfassen, um auf schwere Sicherheitsvorfälle reagieren zu können und somit Betriebskontinuität sicherzustellen. Schwerwiegende Sicherheitsvorfälle sind unter anderem:​
  • Ausfall der Systeme,
  • Schadsoftware-Befall (inkl. Kryptolocker) sowie
  • Data Leakage​
  • Zielgerichtete Hackingangriffe (z.B. APTs)​
Bei Betrieb kritischer Anwendungen in der Cloud müssen diese Maßnahmen und Tests vom Cloud-Betreiber nachgewiesen werden (z. B. über ISAE 3402-Berichte).​Tests müssen mindestens einmal jährlich durchgeführt werden.
A11Governance & ÖkosystemHaben sie einen Prozess zum Management ihrer Lieferantenrisiken?Es muss einen Prozess oder Checklisten geben, um Lieferanten auf ihre Risiken bezüglich Cybersicherheit, Datenschutz und Business Continuity Management zu überprüfen