Menü
Entnommen und aufbereitet von folgender Quelle: BSI – Elementare Gefährdungen (bund.de)
Diese Seite ist einen 1zu1-Kopie des PDF des BSI. Sie wurde lediglich dazu erstellt, um in Datenschutzdokuentationen auf wichtige Inhalte zu verlinken.
Im Weiteren Verlauf der Betrachtung von Maßnahmen ist auch folgendes Grundschutzkompendium von großer Bedeutung: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/IT_Grundschutz_Kompendium_Edition2022.pdf?__blob=publicationFile&v=5#download=1
Weiterhin verweisen wir auf die Kreuztabelle:
Feuer können schwere Schäden an Menschen, Gebäuden und deren Einrichtung verursachen. Neben direkten durch Feuer verursachten Schäden lassen sich Folgeschäden aufzeigen, die insbesondere für die Informationstechnik in ihrer Schadenswirkung ein katastrophale Ausmaß erreichen können. Löschwasserschäden treten beispielsweise nicht nur an der Brandstelle auf. Sie können auch in tiefer liegenden Gebäudeteilen entstehen. Bei der Verbrennung von PVC entstehen Chlorgase, die zusammen mit der Luftfeuchtigkeit und dem Löschwasser Salzsäure bilden. Werden die Salzsäuredämpfe über die Klimaanlage verteilt, können auf diese Weise Schäden an empfindlichen elektronischen Geräten entstehen, die in einem vom Brandort weit entfernten Teil des Gebäudes stehen. Aber auch “normaler” Brandrauch kann auf diesem Weg beschädigend auf die IT-Einrichtung einwirken.
Ein Brand entsteht nicht nur durch den fahrlässigen Umgang mit Feuer (z. B. durch unbeaufsichtigte offene Flammen, Schweiß- und Lötarbeiten), sondern auch durch unsachgemäße Benutzung elektrischer Einrichtungen (z. B. unbeaufsichtigte Kaffeemaschine, Überlastung von Mehrfachsteckdosen). Technische Defekte an elektrischen Geräten können ebenfalls zu einem Brand führen.
Die Ausbreitung eines Brandes kann unter anderem begünstigt werden durch:
Beispiele:
https://dsz365.de/wp-content/uploads/2023/01/G01.txt
Ungünstige klimatische Bedingungen wie Hitze, Frost oder hohe Luftfeuchtigkeit können zu Schäden verschiedenster Art führen, beispielsweise zu Fehlfunktionen in technischen Komponenten oder zur Beschädigung von Speichermedien. Häufige Schwankungen der klimatischen Bedingungen verstärken diesen Effekt. Ungünstige klimatische Bedingungen können auch dazu führen, dass Menschen nicht mehr arbeiten können oder sogar verletzt oder getötet werden.
Jeder Mensch und jedes technische Gerät hat einen Temperaturbereich, innerhalb dessen seine normale Arbeitsweise bzw. ordnungsgemäße Funktion gewährleistet ist. Überschreitet die Umgebungstemperatur die Grenzen dieses Bereiches nach oben oder unten, kann es zu Arbeitsausfällen, Betriebsstörungen oder zu Geräteausfällen kommen.
Zu Lüftungszwecken werden oft unerlaubt Fenster von Serverräumen geöffnet. In der Übergangszeit (Frühjahr, Herbst) kann das bei großen Temperaturschwankungen dazu führen, dass durch starke Abkühlung die zulässige Luftfeuchte überschritten wird.
Beispiele:
Durch Wasser kann die Integrität und Verfügbarkeit von Informationen beeinträchtigt werden, die auf analogen und digitalen Datenträgern gespeichert sind. Auch Informationen im Arbeitsspeicher von ITSystemen sind gefährdet. Der unkontrollierte Eintritt von Wasser in Gebäude oder Räume kann beispielsweise bedingt sein durch:
Unabhängig davon, auf welche Weise Wasser in Gebäude oder Räume gelangt, besteht die Gefahr, dass Versorgungseinrichtungen oder IT-Komponenten beschädigt oder außer Betrieb gesetzt werden (Kurzschluss, mechanische Beschädigung, Rost etc.). Besonders wenn zentrale Einrichtungen der Gebäudeversorgung (Hauptverteiler für Strom, Telefon, Daten) in Kellerräumen ohne selbsttätige Entwässerung untergebracht sind, kann eindringendes Wasser sehr hohe Schäden verursachen.
Probleme können außerdem durch Frost entstehen. Beispielsweise können Rohre in frostgefährdeten Bereichen undicht werden, wenn darin Wasser bei anhaltendem Frost stillsteht. Auch eine vorhandene Wärmedämmung wird mit der Zeit vom Frost überwunden.
Beispiel:
Viele IT-Geräte enthalten neben der Elektronik auch mechanisch arbeitende Komponenten, wie z. B. bei Fest- und Wechselplatten, DVD-Laufwerken, Druckern, Scannern etc., aber auch Lüftern von Prozessoren und Netzteilen. Mit steigenden Anforderungen an die Qualität und die Schnelligkeit müssen diese Geräte immer präziser arbeiten. Bereits geringfügige Verunreinigungen können zu einer Störung eines Gerätes führen. Staub und Verschmutzungen können beispielsweise durch folgende Tätigkeiten in größerem Maße entstehen:
Vorhandene Sicherheitsschaltungen in den Geräten führen meist zu einem rechtzeitigen Abschalten. Das hält zwar den direkten Schaden am Gerät, die Instandsetzungskosten und die Ausfallzeiten klein, führt aber dazu, dass das betroffene Gerät nicht verfügbar ist.
Die Geräte und die Infrastruktur können außerdem durch Korrosion angegriffen werden. Dies kann sich nicht nur auf die IT, sondern sogar auf die Sicherheit von Gebäuden negativ auswirken.
Durch Korrosion können auch indirekt weitere Gefährdungen entstehen. So kann beispielsweise Wasser aus korrodierten Stellen austreten (siehe G 0.3 Wasser).
Insgesamt können Verschmutzung, Staub oder Korrosion somit zu Ausfällen oder Beschädigungen von ITKomponenten und Versorgungseinrichtungen führen. Als Folge kann die ordnungsgemäße Informationsverarbeitung beeinträchtigt werden.
Beispiele:
Unter Naturkatastrophen werden natürliche Veränderungen verstanden, die verheerende Auswirkungen auf Menschen und Infrastrukturen haben. Ursachen für eine Naturkatastrophe können seismische, klimatische oder vulkanische Phänomene sein, wie beispielsweise Erdbeben, Hochwasser, Erdrutsche, Tsunamis, Lawinen und Vulkanausbrüche. Beispiele für extreme meteorologische Phänomene sind Unwetter, Orkane oder Zyklone. Je nach Standort der Institution ist diese den Risiken durch die verschiedenen Arten von Naturkatastrophen unterschiedlich stark ausgesetzt.
Beispiele:
Unabhängig von der Art der Naturkatastrophe besteht auch in nicht unmittelbar betroffenen Gebieten die Gefahr, dass Versorgungseinrichtungen, Kommunikationsverbindungen oder IT-Komponenten beschädigt oder außer Betrieb gesetzt werden. Besonders der Ausfall zentraler Einrichtungen der Gebäudeversorgung (Hauptverteiler für Strom, Telefon, Daten) kann sehr hohe Schäden nach sich ziehen. Betriebs- und ServicePersonal kann aufgrund von großflächig eingerichteten Sperrbereichen der Zutritt zur Infrastruktur verwehrt werden.
Beispiele:
Link von Extern: https://dsz365.de/elementare-gefaehrdungen/#katastrophe
Eine Behörde bzw. ein Unternehmen kann Schaden nehmen, wenn sich im Umfeld ein schwerer
Unglücksfall ereignet, zum Beispiel ein Brand, eine Explosion, die Freisetzung giftiger Substanzen oder das Austreten gefährlicher Strahlung. Gefahr besteht dabei nicht nur durch das Ereignis selbst, sondern auch durch die häufig daraus resultierenden Aktivitäten, beispielsweise Sperrungen oder Rettungsmaßnahmen.
Die Liegenschaften einer Institution können verschiedenen Gefährdungen aus dem Umfeld ausgesetzt sein, unter anderem durch Verkehr (Straßen, Schiene, Luft, Wasser), Nachbarbetriebe oder Wohngebiete.
Vorbeugungs- oder Rettungsmaßnahmen können die Liegenschaften dabei direkt betreffen. Solche Maßnahmen können auch dazu führen, dass Mitarbeiter ihre Arbeitsplätze nicht erreichen können oder Personal evakuiert werden muss. Durch die Komplexität der Haustechnik und der IT-Einrichtungen kann es aber auch zu indirekten Problemen kommen.
Beispiel:
Link von extern: https://dsz365.de/elementare-gefaehrdungen/#Umfeld
Großveranstaltungen aller Art können zu Behinderungen des ordnungsgemäßen Betriebs einer Behörde bzw. eines Unternehmens führen. Hierzu gehören unter anderem Straßenfeste, Konzerte, Sportveranstaltungen, Arbeitskämpfe oder Demonstrationen. Ausschreitungen im Zusammenhang mit solchen Veranstaltungen können zusätzliche Auswirkungen, wie die Einschüchterung von Mitarbeitern bis hin zur Gewaltanwendung gegen das Personal oder das Gebäude, nach sich ziehen.
Beispiele:
Link von extern: https://dsz365.de/elementare-gefaehrdungen/#grossereignis
Trotz hoher Versorgungssicherheit kommt es immer wieder zu Unterbrechungen der Stromversorgung seitens der Verteilungsnetzbetreiber (VNB) bzw. Energieversorgungsunternehmen (EVU). Die größte Zahl dieser Störungen ist mit Zeiten unter einer Sekunde so kurz, dass der Mensch sie nicht bemerkt. Aber schon Unterbrechungen von mehr als 10 ms sind geeignet, den IT-Betrieb zu stören. Neben Störungen im Versorgungsnetz können jedoch auch Abschaltungen bei nicht angekündigten Arbeiten oder Kabelbeschädigungen bei Tiefbauarbeiten dazu führen, dass die Stromversorgung ausfällt.
Von der Stromversorgung sind nicht nur die offensichtlichen, direkten Stromverbraucher (PC, Beleuchtung usw.) abhängig. Viele Infrastruktur-Einrichtungen sind heute vom Strom abhängig, z.B. Aufzüge, Klimatechnik, Gefahrenmeldeanlagen, Sicherheitsschleusen, automatische Türschließanlagen und Sprinkleranlagen. Selbst die Wasserversorgung in Hochhäusern ist wegen der zur Druck-Erzeugung in den oberen Etagen erforderlichen Pumpen stromabhängig. Bei längeren Stromausfällen kann der Ausfall der Infrastruktur-Einrichtungen dazu führen, dass keinerlei Tätigkeiten mehr in den betroffenen Räumlichkeiten durchgeführt werden können.
Neben Ausfällen können auch andere Störungen der Stromversorgung den Betrieb beeinträchtigen. Überspannung kann beispielsweise zu Fehlfunktionen oder sogar zu Beschädigungen von elektrischen Geräten führen.
Zu beachten ist außerdem, dass durch Ausfälle oder Störungen der Stromversorgung in der Nachbarschaft unter Umständen auch die eigenen Geschäftsprozesse betroffen sein können, beispielsweise wenn Zufahrtswege blockiert werden.
Beispiele:
Für viele Geschäftsprozesse werden heutzutage zumindest zeitweise intakte Kommunikationsverbindungen benötigt, sei es über Telefon, Fax, E-Mail oder andere Dienste über Nah- oder Weitverkehrsnetze. Fallen einige oder mehrere dieser Kommunikationsverbindungen über einen längeren Zeitraum aus, kann dies beispielsweise dazu führen, dass
Werden auf IT-Systemen, die über Weitverkehrsnetze verbunden sind, zeitkritische Anwendungen betrieben, sind die durch einen Netzausfall möglichen Schäden und Folgeschäden entsprechend hoch, wenn keine Ausweichmöglichkeiten (z. B. Anbindung an ein zweites Kommunikationsnetz) vorhanden sind.
Zu ähnlichen Problemen kann es kommen, wenn die benötigten Kommunikationsnetze gestört sind, ohne jedoch vollständig auszufallen. Kommunikationsverbindungen können beispielsweise eine erhöhte Fehlerrate oder andere Qualitätsmängel aufweisen. Falsche Betriebsparameter können ebenfalls zu Beeinträchtigungen führen.
Beispiele:
Es gibt in einem Gebäude eine Vielzahl von Netzen, die der grundlegenden Ver- und Entsorgung und somit als Basis für alle Geschäftsprozesse einer Institution einschließlich der IT dienen. Beispiele für solche Versorgungsnetze sind:
Der Ausfall oder die Störung eines Versorgungsnetzes kann unter anderem dazu führen, dass Menschen nicht mehr im Gebäude arbeiten können oder dass der IT-Betrieb und somit die Informationsverarbeitung beeinträchtigt wird.
Die Netze sind in unterschiedlich starker Weise voneinander abhängig, so dass sich Betriebsstörungen in jedem einzelnen Netz auch auf andere auswirken können.
Beispiele:
IND.2.1.A7 Erstellung von Datensicherungen
INF.1.A1 Planung der Gebäudeabsicherung
INF.1.A13 Regelungen für Zutritt zu Verteilern
INF.1.A14 Blitzschutzeinrichtungen
INF.1.A15 Lagepläne der Versorgungsleitungen
INF.1.A25 Geeignete Standortauswahl
INF.1.A30 Auswahl eines geeigneten Gebäudes
INF.1.A36 Regelmäßige Aktualisierungen der Dokumentation
INF.13.A6 Erstellung eines TGM-Konzepts
INF.13.A17 Regelung von Wartungs- und Reparaturarbeiten im TGM
INF.13.A18 Proaktive Instandhaltung im TGM
INF.13.A22 Durchführung von Systemtests im TGM
INF.13.A25 Aufbau einer Testumgebung für das TGM
INF.14.A3 Sichere Anbindung von TGA-Anlagen und GA-Systemen
INF.14.A10 Bildung von unabhängigen GA-Bereichen
INF.2.A2 Bildung von Brandabschnitten
INF.2.A8 Einsatz einer Brandmeldeanlage
INF.2.A9 Einsatz einer Lösch- oder Brandvermeidungsanlage
INF.2.A10 Inspektion und Wartung der Infrastruktur
INF.2.A11 Automatische Überwachung der Infrastruktur
INF.2.A13 Planung und Installation von Gefahrenmeldeanlagen
INF.2.A17 Brandfrüherkennung
INF.2.A19 Durchführung von Funktionstests der technischen Infrastruktur
INF.2.A21 Ausweichrechenzentrum
INF.2.A23 Sicher strukturierte Verkabelung im Rechenzentrum
INF.2.A28 Einsatz von höherwertigen Gefahrenmeldeanlagen
INF.2.A30 Anlagen zur Erkennung
INF.5.A4 Schutz vor Einbruch
INF.5.A6 Minimierung von Brandlasten
INF.5.A11 Vermeidung von Leitungen mit gefährdenden Flüssigkeiten und Gasen
INF.5.A12 Schutz vor versehentlicher Beschädigung von Zuleitungen
INF.5.A14 Minimierung von Brandgefahren aus Nachbarbereichen
INF.5.A15 Blitz- und Überspannungsschutz
INF.5.A16 Einsatz einer unterbrechungsfreien Stromversorgung
INF.5.A17 Inspektion und Wartung der Infrastruktur
INF.5.A19 Redundanz des Raumes für technische Infrastruktur
INF.5.A20 Schutz vor Einbruch und Sabotage
INF.5.A22 Redundante Auslegung der Stromversorgung
INF.5.A23 Netzersatzanlage
INF.5.A24 Lüftung und Kühlung
INF.5.A25 Erhöhter Schutz vor Schädigung durch Brand und Rauchgase
INF.5.A26 Überwachung der Energieversorgung
Kaum eine Institution arbeitet heute noch ohne Dienstleister wie Zulieferer oder Outsourcing-Anbieter. Wenn Organisationseinheiten von Dienstleistern abhängig sind, kann durch Ausfälle externer Dienstleistungen die Aufgabenbewältigung beeinträchtigt werden. Der teilweise oder vollständige Ausfall eines Outsourcing-Dienstleisters oder eines Zulieferers kann sich erheblich auf die betriebliche Kontinuität auswirken, insbesondere bei kritischen Geschäftsprozessen. Es gibt verschiedene Ursachen für solche Ausfälle, beispielsweise Insolvenz, einseitige Kündigung des Vertrags durch den Dienstleister oder Zulieferer, betriebliche Probleme beispielsweise durch Naturgewalten oder Personalausfall. Probleme können auch entstehen, wenn die vom Dienstleister erbrachten Leistungen nicht den Qualitätsanforderungen des Auftraggebers entsprechen.
Zu beachten ist außerdem, dass Dienstleister ebenfalls häufig auf Unterauftragnehmer zurückgreifen, um ihre Leistungen gegenüber dem Auftraggeber zu erbringen. Störungen, Qualitätsmängel und Ausfälle seitens der Unterauftragnehmer können dadurch indirekt zu Beeinträchtigungen beim Auftraggeber führen.
Auch durch Ausfälle von IT-Systemen beim Dienstleister oder der Kommunikationsanbindungen zu diesem können Geschäftsprozesse beim Auftraggeber beeinträchtigt werden.
Eine gegebenenfalls notwendige Rückholung ausgelagerter Prozesse kann stark erschwert sein, beispielsweise weil die ausgelagerten Verfahren nicht hinreichend dokumentiert sind oder weil der bisherige Dienstleister die Rückholung nicht unterstützt.
Beispiele:
APP.2.1.A2 Planung des Einsatzes von Verzeichnisdiensten
APP.2.1.A3 Einrichtung von Zugriffsberechtigungen auf Verzeichnisdienste
APP.2.1.A5 Sichere Konfiguration und Konfigurationsänderungen von Verzeichnisdiensten
APP.2.1.A6 Sicherer Betrieb von Verzeichnisdiensten
APP.2.1.A8 Planung einer Partitionierung und Replikation im Verzeichnisdienst
APP.2.1.A16 Erstellung eines Notfallplans für den Ausfall eines Verzeichnisdienstes
APP.2.2.A1 Planung des Active Directory
APP.2.2.A2 Planung der Active-Directory-Administration
APP.2.2.A7 Umsetzung sicherer Verwaltungsmethoden für Active Directory
APP.2.3.A4 Konfiguration der durch OpenLDAP verwendeten Datenbank
APP.3.2.A10 Auswahl eines geeigneten Webhosters
DER.2.1.A5 Behebung von Sicherheitsvorfällen
DER.2.1.A6 Wiederherstellung der Betriebsumgebung nach Sicherheitsvorfällen
DER.2.1.A22 Überprüfung des Managementsystems zur Behandlung von Sicherheitsvorfällen
DER.4.A16 Notfallvorsorge- und Notfallreaktionsplanung für ausgelagerte Komponenten
IND.1.A5 Entwicklung eines geeigneten Zonenkonzepts
IND.1.A6 Änderungsmanagement im OT-Betrieb
IND.1.A8 Sichere Administration
IND.1.A13 Notfallplanung für OT
IND.2.4.A1 Fernwartung durch Maschinen- und Anlagenbauer
IND.2.7.A4 Verankerung von Informationssicherheit im Functional Safety Management
IND.2.7.A5 Notfallmanagement von SIS
IND.2.7.A6 Sichere Planung und Spezifikation des SIS
INF.2.A21 Ausweichrechenzentrum
INF.5.A23 Netzersatzanlage
INF.5.A24 Lüftung und Kühlung
NET.1.1.A14 Umsetzung der Netzplanung
NET.1.1.A25 Fein- und Umsetzungsplanung von Netzarchitektur und -design
NET.1.1.A29 Hochverfügbare Realisierung von Netzanbindungen
NET.1.1.A30 Schutz vor Distributed-Denial-of-Service
NET.3.1.A4 Schutz der Administrationsschnittstellen
NET.3.1.A7 Protokollierung bei Routern und Switches
NET.3.1.A8 Regelmäßige Datensicherung
NET.3.1.A9 Betriebsdokumentationen
NET.3.1.A11 Beschaffung eines Routers oder Switches
NET.3.1.A12 Erstellung einer Konfigurations-Checkliste für Router und Switches
NET.3.1.A14 Schutz vor Missbrauch von ICMP-Nachrichten
NET.3.1.A22 Notfallvorsorge bei Routern und Switches
NET.3.1.A23 Revision und Penetrationstests
NET.3.3.A2 Auswahl eines VPN-Dienstleisters
NET.3.3.A9 Geeignete Auswahl von VPN-Produkten
NET.3.3.A11 Sichere Anbindung eines externen Netzes
NET.4.1.A1 Anforderungsanalyse und Planung für TK-Anlagen
NET.4.1.A2 Auswahl von TK-Diensteanbietern
NET.4.1.A15 Notrufe bei einem Ausfall der TK-Anlage
NET.4.1.A19 Redundanter Anschluss
OPS.2.1.A3 Auswahl eines geeigneten Outsourcing-Dienstleisters
OPS.2.1.A5 Festlegung einer Strategie zum Outsourcing
OPS.2.1.A9 Vereinbarung über die Anbindung an Netze der Outsourcing-Partner
OPS.2.1.A14 Notfallvorsorge beim Outsourcing
OPS.2.1.A15 Geordnete Beendigung eines Outsourcing-Verhältnisses
OPS.2.2.A8 Sorgfältige Auswahl eines Cloud-Diensteanbieters
OPS.2.2.A9 Vertragsgestaltung mit dem Cloud-Diensteanbieter
OPS.2.2.A11 Erstellung eines Notfallkonzeptes für einen Cloud-Dienst
OPS.2.2.A15 Sicherstellung der Portabilität von Cloud-Diensten
OPS.2.2.A16 Durchführung eigener Datensicherungen
SYS.1.8.A9 Auswahl von Lieferanten für eine Speicherlösung
SYS.3.2.2.A3 Auswahl eines MDM-Produkts
SYS.3.2.3.A2 Planung des Einsatzes von Cloud-Diensten
SYS.3.2.3.A14 Verwendung der iCloud-Infrastruktur
SYS.3.2.3.A15 Verwendung der Continuity-Funktionen
SYS.3.2.3.A23 Verwendung der automatischen Konfigurationsprofillöschung
SYS.3.2.3.A26 Keine Verbindung mit Host-Systemen
Link von extern: https://dsz365.de/elementare-gefaehrdungen/#dienstleister
Informationstechnik setzt sich heute zu einem großen Teil aus elektronischen Komponenten zusammen.
Zwar wird zunehmend auch optische Übertragungstechnik eingesetzt, dennoch enthalten beispielsweise Computer, Netzkoppelelemente und Speichersysteme in der Regel sehr viele elektronische Bauteile. Durch elektromagnetische Störstrahlung, die auf solche Bauteile einwirkt, können elektronische Geräte in ihrer Funktion beeinträchtigt oder sogar beschädigt werden. Als Folge kann es unter anderem zu Ausfällen, Störungen, falschen Verarbeitungsergebnissen oder Kommunikationsfehlern kommen.
Auch drahtlose Kommunikation kann durch elektromagnetische Störstrahlung beeinträchtigt werden. Hierzu reicht unter Umständen eine ausreichend starke Störung der verwendeten Frequenzbänder.
Weiterhin können Informationen, die auf bestimmten Arten von Datenträgern gespeichert sind, durch elektromagnetische Störstrahlung gelöscht oder verfälscht werden. Dies betrifft insbesondere magnetisierbare Datenträger (Festplatten, Magnetbänder etc.) und Halbleiter-Speicher. Auch eine Beschädigung solcher Datenträger durch elektromagnetische Störstrahlung ist möglich.
Es gibt viele unterschiedliche Quellen elektromagnetischer Felder oder Strahlung, zum Beispiel Funknetze wie WLAN, Bluetooth, GSM, UMTS etc., Dauermagnete und kosmische Strahlung. Außerdem strahlt jedes elektrische Gerät mehr oder weniger starke elektromagnetische Wellen ab, die sich unter anderem durch die Luft und entlang metallischer Leiter (z. B. Kabel, Klimakanäle, Heizungsrohre etc.) ausbreiten können.
In Deutschland enthält das Gesetz über die elektromagnetische Verträglichkeit von Betriebsmitteln (EMVG) Regelungen zu diesem Thema.
IND.2.1.A7 Erstellung von Datensicherungen
IND.2.1.A13 Geeignete Inbetriebnahme der ICS-Komponenten
INF.12.A1 Auswahl geeigneter Kabeltypen
INF.12.A2 Planung der Kabelführung
INF.12.A7 Überspannungsschutz
INF.12.A12 Kontrolle elektrotechnischer Anlagen und bestehender Verbindungen
INF.12.A13 Vermeidung elektrischer Zündquellen
INF.12.A14 A-B-Versorgung
Link von extern: https://dsz365.de/elementare-gefaehrdungen/#strahlung
Elektrische Geräte strahlen elektromagnetische Wellen ab. Bei Geräten, die Informationen verarbeiten (z. B.
Computer, Bildschirme, Netzkoppelelemente, Drucker), kann diese Strahlung auch die gerade verarbeiteten Informationen mit sich führen. Derartige informationstragende Abstrahlung wird bloßstellende oder kompromittierende Abstrahlung genannt. Ein Angreifer, der sich beispielsweise in einem Nachbarhaus oder in einem in der Nähe abgestellten Fahrzeug befindet, kann versuchen, diese Abstrahlung zu empfangen und daraus die verarbeiteten Informationen zu rekonstruieren. Die Vertraulichkeit der Informationen ist damit in Frage gestellt. Eine mögliche Zielsetzung eines solchen Angriffes ist Industriespionage.
Die Grenzwerte des Gesetzes über die elektromagnetische Verträglichkeit von Betriebsmitteln (EMVG) reichen im Allgemeinen nicht aus, um das Abfangen der bloßstellenden Abstrahlung zu verhindern. Falls dieses Risiko nicht akzeptiert werden kann, müssen deshalb in aller Regel zusätzliche Schutzmaßnahmen getroffen werden.
Bloßstellende Abstrahlung ist nicht auf elektromagnetische Wellen beschränkt. Auch aus Schallwellen, zum Beispiel bei Druckern oder Tastaturen, können unter Umständen nützliche Informationen gewonnen werden.
Zu beachten ist außerdem, dass bloßstellende Abstrahlung in bestimmten Fällen auch durch äußere Manipulation von Geräten verursacht oder verstärkt werden kann. Wird zum Beispiel ein Gerät mit elektromagnetischen Wellen bestrahlt, kann es passieren, dass die reflektierten Wellen vertrauliche Informationen mit sich führen.
CON.1.A17 Abstrahlsicherheit
INF.8.A4 Geeignete Einrichtung des häuslichen Arbeitsplatzes
INF.8.A6 Umgang mit dienstlichen Unterlagen bei erhöhtem Schutzbedarf am häuslichen Arbeitsplatz
SYS.3.2.2.A4 Verteilung der Grundkonfiguration auf mobile Endgeräte
SYS.3.2.2.A5 Installation des MDM Clients
Link von extern: https://dsz365.de/elementare-gefaehrdungen/#strahlung2
Mit Spionage werden Angriffe bezeichnet, die das Ziel haben, Informationen über Unternehmen, Personen, Produkte oder andere Zielobjekte zu sammeln, auszuwerten und aufzubereiten. Die aufbereiteten Informationen können dann beispielsweise eingesetzt werden, um einem anderem Unternehmen bestimmte Wettbewerbsvorteile zu verschaffen, Personen zu erpressen oder ein Produkt nachbauen zu können.
Neben einer Vielzahl technisch komplexer Angriffe gibt es oft auch viel einfachere Methoden, um an wertvolle Informationen zu kommen, beispielsweise indem Informationen aus mehreren öffentlich zugänglichen Quellen zusammengeführt werden, die einzeln unverfänglich aussehen, aber in anderen Zusammenhängen kompromittierend sein können. Da vertrauliche Daten häufig nicht ausreichend geschützt werden, können diese oft auf optischem, akustischem oder elektronischem Weg ausgespäht werden.
Beispiele:
APP.2.1.A2 Planung des Einsatzes von Verzeichnisdiensten
APP.2.1.A3 Einrichtung von Zugriffsberechtigungen auf Verzeichnisdienste
APP.2.1.A6 Sicherer Betrieb von Verzeichnisdiensten
APP.2.1.A13 Absicherung der Kommunikation mit Verzeichnisdiensten
APP.2.2.A1 Planung des Active Directory
APP.2.2.A2 Planung der Active-Directory-Administration
APP.2.2.A3 Planung der Gruppenrichtlinien unter Windows
APP.2.2.A5 Härtung des Active Directory
APP.2.2.A6 Aufrechterhaltung der Betriebssicherheit von Active Directory
APP.2.2.A7 Umsetzung sicherer Verwaltungsmethoden für Active Directory
APP.2.2.A8 Konfiguration des “Sicheren Kanals” unter Windows
APP.2.2.A9 Schutz der Authentisierung beim Einsatz von Active Directory
APP.2.2.A14 Verwendung dedizierter privilegierter Administrationssysteme
APP.2.2.A15 Trennung von Administrations- und Produktionsumgebung
APP.3.1.A21 Sichere HTTP-Konfiguration bei Webanwendungen
APP.3.3.A3 Einsatz von Viren-Schutzprogrammen
APP.3.3.A12 Verschlüsselung des Datenbestandes
APP.4.2.A1 Sichere Konfiguration des SAP-ABAP-Stacks
APP.4.2.A2 Sichere Konfiguration des SAP-JAVA-Stacks
APP.4.2.A3 Netzsicherheit
APP.4.2.A4 Absicherung der ausgelieferten SAP-Standardbenutzer-Kennungen
APP.4.2.A5 Konfiguration und Absicherung der SAP-Benutzerverwaltung
APP.4.2.A6 Erstellung und Umsetzung eines Benutzer- und Berechtigungskonzeptes
APP.4.2.A7 Absicherung der SAP-Datenbanken
APP.4.2.A8 Absicherung der SAP-RFC-Schnittstelle
APP.4.2.A11 Sichere Installation eines SAP-ERP-Systems
APP.4.2.A12 SAP-Berechtigungsentwicklung
APP.4.2.A15 Sichere Konfiguration des SAP-Routers
APP.4.2.A16 Umsetzung von Sicherheitsanforderungen für das Betriebssystem Windows
APP.4.2.A17 Umsetzung von Sicherheitsanforderungen für das Betriebssystem Unix
APP.4.2.A18 Abschaltung von unsicherer Kommunikation
APP.4.2.A22 Schutz des Spools im SAP-ERP-System
APP.4.2.A23 Schutz der SAP-Hintergrundverarbeitung
APP.4.2.A26 Schutz des kundeneigenen Codes im SAP-ERP-System
APP.4.2.A27 Audit des SAP-ERP-Systems
APP.4.2.A30 Implementierung eines kontinuierlichen Monitorings der Sicherheitseinstellungen
APP.4.2.A32 Echtzeiterfassung und Alarmierung von irregulären Vorgängen
APP.4.3.A3 Basishärtung des Datenbankmanagementsystems
APP.4.3.A13 Restriktive Handhabung von Datenbank-Links
APP.4.3.A24 Datenverschlüsselung in der Datenbank
APP.4.4.A1 Planung der Separierung der Anwendungen
APP.4.4.A2 Planung der Automatisierung mit CI/CD
APP.4.4.A3 Identitäts- und Berechtigungsmanagement bei Kubernetes
APP.4.4.A4 Separierung von Pods
APP.4.4.A7 Separierung der Netze bei Kubernetes
APP.4.4.A8 Absicherung von Konfigurationsdateien bei Kubernetes
APP.4.4.A9 Nutzung von Kubernetes Service-Accounts
APP.4.4.A10 Absicherung von Prozessen der Automatisierung
APP.4.4.A12 Absicherung der Infrastruktur-Anwendungen
APP.4.4.A13 Automatisierte Auditierung der Konfiguration
APP.4.4.A14 Verwendung dedizierter Nodes
APP.4.4.A15 Trennung von Anwendungen auf Node- und Cluster-Ebene
APP.4.4.A17 Attestierung von Nodes
APP.4.4.A18 Verwendung von Mikro-Segmentierung
APP.4.4.A20 Verschlüsselte Datenhaltung bei Pods
APP.4.4.A21 Regelmäßiger Restart von Pods
APP.4.6.A1 Absicherung von Reports mit Berechtigungsprüfungen
APP.4.6.A2 Formal korrekte Auswertung von Berechtigungsprüfungen
APP.4.6.A3 Berechtigungsprüfung vor dem Start einer Transaktion
APP.4.6.A4 Verzicht auf proprietäre Berechtigungsprüfungen
APP.4.6.A8 Schutz vor unberechtigten oder manipulierenden Zugriffen auf das Dateisystem
APP.4.6.A9 Berechtigungsprüfung in remote-fähigen Funktionsbausteinen
APP.4.6.A10 Verhinderung der Ausführung von Betriebssystemkommandos
APP.4.6.A11 Vermeidung von eingeschleustem Schadcode
APP.4.6.A12 Vermeidung von generischer Modulausführung
APP.4.6.A13 Vermeidung von generischem Zugriff auf Tabelleninhalte
APP.4.6.A14 Vermeidung von nativen SQL-Anweisungen
APP.4.6.A15 Vermeidung von Datenlecks
APP.4.6.A16 Verzicht auf systemabhängige Funktionsausführung
APP.4.6.A17 Verzicht auf mandantenabhängige Funktionsausführung
APP.4.6.A18 Vermeidung von Open-SQL-Injection-Schwachstellen
APP.4.6.A19 Schutz vor Cross-Site-Scripting
APP.4.6.A21 Verbot von verstecktem ABAP-Quelltext
CON.1.A3 Verschlüsselung der Kommunikationsverbindungen
CON.1.A13 Anforderungen an die Betriebssystem-Sicherheit beim Einsatz von Kryptomodulen
CON.7.A1 Sicherheitsrichtlinie zur Informationssicherheit auf Auslandsreisen
CON.7.A2 Sensibilisierung der Mitarbeiter zur Informationssicherheit auf Auslandsreisen
CON.7.A7 Sicherer Remote-Zugriff auf das Netz der Institution
CON.7.A14 Kryptografisch abgesicherte E-Mail-Kommunikation
CON.7.A17 Verwendung vorkonfigurierter Reise-Hardware
CON.8.A5 Sicheres Systemdesign
CON.8.A6 Verwendung von externen Bibliotheken aus vertrauenswürdigen Quellen
CON.9.A8 Verschlüsselung und Signatur
DER.2.3.A1 Einrichtung eines Leitungsgremiums
DER.2.3.A2 Entscheidung für eine Bereinigungsstrategie
DER.2.3.A3 Isolierung der betroffenen Netzabschnitte
DER.2.3.A4 Sperrung und Änderung von Zugangsdaten und kryptografischen Schlüsseln
DER.2.3.A5 Schließen des initialen Einbruchswegs
DER.2.3.A7 Gezielte Systemhärtung
DER.2.3.A8 Etablierung sicherer
DER.2.3.A9 Hardwaretausch betroffener IT-Systeme
DER.2.3.A10 Umbauten zur Erschwerung eines erneuten Angriffs durch denselben Angreifer
IND.1.A3 Schutz vor Schadprogrammen
IND.1.A4 Dokumentation der OT-Infrastruktur
IND.1.A6 Änderungsmanagement im OT-Betrieb
IND.1.A8 Sichere Administration
IND.2.1.A1 Einschränkung des Zugriffs für Konfigurations- und Wartungsschnittstellen
IND.2.1.A2 Nutzung sicherer Übertragungsprotokolle für die Konfiguration und Wartung
IND.2.1.A4 Deaktivierung oder Deinstallation nicht genutzter Dienste, Funktionen und Schnittstellen
IND.2.1.A6 Netzsegmentierung
IND.2.1.A8 Schutz vor Schadsoftware
IND.2.1.A11 Wartung der ICS-Komponenten
IND.2.1.A13 Geeignete Inbetriebnahme der ICS-Komponenten
IND.2.1.A16 Schutz externer Schnittstellen
IND.2.1.A17 Nutzung sicherer Protokolle für die Übertragung von Informationen
IND.2.1.A19 Security-Tests
IND.2.1.A20 Vertrauenswürdiger Code
IND.2.3.A1 Installation von Sensoren
IND.2.3.A2 Kalibrierung von Sensoren
IND.2.3.A3 Drahtlose Kommunikation
IND.2.4.A1 Fernwartung durch Maschinen- und Anlagenbauer
IND.2.7.A1 Erfassung und Dokumentation
IND.2.7.A2 Zweckgebundene Nutzung der Hard- und Softwarekomponenten
IND.2.7.A4 Verankerung von Informationssicherheit im Functional Safety Management
IND.2.7.A5 Notfallmanagement von SIS
IND.2.7.A6 Sichere Planung und Spezifikation des SIS
IND.2.7.A7 Trennung und Unabhängigkeit des SIS von der Umgebung
IND.2.7.A9 Absicherung der Daten- und Signalverbindungen
IND.2.7.A11 Umgang mit integrierten Systemen
INF.7.A1 Geeignete Auswahl und Nutzung eines Büroraumes
INF.7.A2 Geschlossene Fenster und abgeschlossene Türen
INF.7.A6 Aufgeräumter Arbeitsplatz
INF.7.A7 Geeignete Aufbewahrung dienstlicher Unterlagen und Datenträger
INF.8.A1 Sichern von dienstlichen Unterlagen am häuslichen Arbeitsplatz
INF.8.A2 Transport von Arbeitsmaterial zum häuslichen Arbeitsplatz
INF.8.A4 Geeignete Einrichtung des häuslichen Arbeitsplatzes
INF.8.A5 Entsorgung von vertraulichen Informationen am häuslichen Arbeitsplatz
INF.8.A6 Umgang mit dienstlichen Unterlagen bei erhöhtem Schutzbedarf am häuslichen Arbeitsplatz
INF.9.A1 Geeignete Auswahl und Nutzung eines mobilen Arbeitsplatzes
INF.9.A2 Regelungen für mobile Arbeitsplätze
INF.9.A3 Zutritts- und Zugriffsschutz
INF.9.A5 Zeitnahe Verlustmeldung
INF.9.A6 Entsorgung von vertraulichen Informationen
INF.9.A8 Sicherheitsrichtlinie für mobile Arbeitsplätze
INF.9.A9 Verschlüsselung tragbarer IT-Systeme und Datenträger
INF.9.A11 Verbot der Nutzung unsicherer Umgebungen
INF.9.A12 Nutzung eines Bildschirmschutzes
INF.10.A4 Planung von Besprechungs-, Veranstaltungs- und Schulungsräumen
INF.10.A5 Fliegende Verkabelung
INF.10.A6 Einrichtung sicherer Netzzugänge
INF.10.A7 Sichere Konfiguration von Schulungs- und Präsentationsrechnern
INF.10.A8 Erstellung eines Nutzungsnachweises für Räume
INF.10.A9 Zurücksetzen von Schulungs- und Präsentationsrechnern
INF.10.A10 Mitführverbot von Mobiltelefonen
INF.13.A11 Angemessene Härtung von Systemen im TGM
INF.13.A12 Sichere Konfiguration der TGM-Systeme
INF.13.A13 Sichere Anbindung von eingeschränkt vertrauenswürdigen Systemen im TGM
INF.13.A14 Berücksichtigung spezieller Rollen und Berechtigungen im TGM
INF.13.A15 Schutz vor Schadsoftware im TGM
INF.13.A16 Prozess für Änderungen im TGM
INF.13.A17 Regelung von Wartungs- und Reparaturarbeiten im TGM
INF.13.A18 Proaktive Instandhaltung im TGM
INF.13.A19 Konzeptionierung und Durchführung des Monitorings im TGM
INF.13.A20 Regelung des Ereignismanagements im TGM
INF.13.A21 Protokollierung im TGM
INF.13.A22 Durchführung von Systemtests im TGM
INF.13.A23 Integration des TGM in das Schwachstellenmanagement
INF.13.A24 Sicherstellung der Kontrolle über die Prozesse bei Cloud-Nutzung für das TGM
INF.13.A25 Aufbau einer Testumgebung für das TGM
INF.13.A26 Absicherung von BIM
INF.14.A3 Sichere Anbindung von TGA-Anlagen und GA-Systemen
INF.14.A4 Berücksichtigung von Gefahrenmeldeanlagen in der GA
INF.14.A5 Dokumentation der GA
INF.14.A6 Separierung von Netzen der GA
INF.14.A7 Festlegung einer Sicherheitsrichtlinie für die GA
INF.14.A8 Anforderungsspezifikation für GA-Systeme
INF.14.A9 Entwicklung eines GA-Konzepts
INF.14.A10 Bildung von unabhängigen GA-Bereichen
INF.14.A11 Absicherung von frei zugänglichen Ports und Zugängen der GA
INF.14.A12 Nutzung sicherer Übertragungsprotokolle für die GA
INF.14.A13 Netzsegmentierung in der GA [Planer]
INF.14.A14 Nutzung eines GA-geeigneten Zugriffsschutzes
INF.14.A15 Absicherung von GA-spezifischen Netzen
INF.14.A16 Absicherung von drahtloser Kommunikation in GA-Netzen
INF.14.A17 Absicherung von Mobilfunkkommunikation in GA-Netzen
INF.14.A18 Sichere Anbindung von GA-eXternen Systemen
INF.14.A19 Nutzung dedizierter Adressbereiche für GA-Netze [Planer]
INF.14.A20 Vermeidung von Broadcast-Kommunikation in GA-Netzen [Planer]
INF.14.A21 Anzeigen der Gültigkeit von Informationen in GA-Systemen
INF.14.A22 Sicherstellung von autark funktionierenden GA-Systemen und TGA-Anlagen
INF.14.A23 Einsatz von physisch robusten Komponenten für die GA
INF.14.A24 Zeitsynchronisation für die GA
INF.14.A25 Dediziertes Monitoring in der GA
INF.14.A26 Protokollierung in der GA
INF.14.A27 Berücksichtigung von Wechselwirkungen zwischen Komponenten der GA in der Notfallplanung
INF.14.A28 Physische Trennung der GA
INF.14.A29 Trennung einzelner TGA-Anlagen
NET.3.1.A4 Schutz der Administrationsschnittstellen
NET.3.1.A5 Schutz vor Fragmentierungsangriffen
NET.3.1.A6 Notfallzugriff auf Router und Switches
NET.3.1.A9 Betriebsdokumentationen
NET.3.1.A11 Beschaffung eines Routers oder Switches
NET.3.1.A12 Erstellung einer Konfigurations-Checkliste für Router und Switches
NET.3.1.A13 Administration über ein gesondertes Managementnetz
NET.3.1.A14 Schutz vor Missbrauch von ICMP-Nachrichten
NET.3.1.A22 Notfallvorsorge bei Routern und Switches
NET.3.1.A23 Revision und Penetrationstests
NET.3.1.A24 Einsatz von Netzzugangskontrollen
NET.3.1.A25 Erweiterter Integritätsschutz für die Konfigurationsdateien
NET.3.1.A26 Hochverfügbarkeit
NET.3.1.A27 Bandbreitenmanagement für kritische Anwendungen und Dienste
NET.3.2.A2 Festlegen der Firewall-Regeln
NET.3.2.A3 Einrichten geeigneter Filterregeln am Paketfilter
NET.3.2.A4 Sichere Konfiguration der Firewall
NET.3.2.A16 Aufbau einer “P-A-P”-Struktur
NET.3.2.A20 Absicherung von grundlegenden Internetprotokollen
NET.3.2.A27 Einsatz verschiedener Firewall-Betriebssysteme und -Produkte in einer mehrstufigen Firewall-Architektur
NET.3.2.A31 Einsatz von zertifizierten Produkten
NET.3.2.A32 Notfallvorsorge für die Firewall
NET.3.3.A4 Sichere Konfiguration eines VPN
NET.3.3.A7 Planung der technischen VPN-Realisierung
NET.3.3.A10 Sicherer Betrieb eines VPN
NET.3.3.A13 Integration von VPN-Komponenten in eine Firewall
NET.4.1.A7 Aufstellung der TK-Anlage
NET.4.1.A8 Einschränkung und Sperrung nicht benötigter oder sicherheitskritischer Leistungsmerkmale
NET.4.1.A10 Dokumentation und Revision der TK-Anlagenkonfiguration
NET.4.3.A1 Geeignete Aufstellung eines Faxgerätes
NET.4.3.A4 Erstellung einer Sicherheitsrichtlinie für die Faxnutzung
NET.4.3.A6 Beschaffung geeigneter Faxgeräte und Faxserver
NET.4.3.A8 Geeignete Entsorgung von Fax-Verbrauchsgütern und -Ersatzteilen
NET.4.3.A9 Nutzung von Sende- und Empfangsprotokollen
NET.4.3.A10 Kontrolle programmierbarer Zieladressen
NET.4.3.A11 Schutz vor Überlastung des Faxgerätes
NET.4.3.A13 Festlegung berechtigter Faxbediener
OPS.1.1.2.A3 Geregelte Einstellung von IT-Administratoren
OPS.1.1.2.A4 Beendigung der Tätigkeit als IT-Administrator
OPS.1.1.2.A5 Nachweisbarkeit von administrativen Tätigkeiten
OPS.1.1.2.A6 Schutz administrativer Tätigkeiten
OPS.1.1.2.A7 Regelung der IT-Administrationstätigkeit
OPS.1.1.2.A12 Regelungen für Wartungs- und Reparaturarbeiten
OPS.1.1.2.A14 Sicherheitsüberprüfung von Administratoren
OPS.1.1.2.A16 Zugangsbeschränkungen für administrative Zugänge
OPS.1.1.2.A17 IT-Administration im Vier-Augen-Prinzip
OPS.1.1.2.A18 Durchgängige Protokollierung administrativer Tätigkeiten
OPS.1.1.2.A20 Verwaltung und Inbetriebnahme von Geräten
OPS.1.1.4.A1 Erstellung eines Konzepts für den Schutz vor Schadprogrammen
OPS.1.1.4.A2 Nutzung systemspezifischer Schutzmechanismen
OPS.1.1.4.A3 Auswahl eines Virenschutzprogrammes für Endgeräte
OPS.1.1.4.A5 Betrieb und Konfiguration von Virenschutzprogrammen
OPS.1.1.4.A6 Regelmäßige Aktualisierung der eingesetzten Virenschutzprogramme und Signaturen
OPS.1.1.4.A7 Sensibilisierung und Verpflichtung der Benutzer
OPS.1.1.4.A9 Meldung von Infektionen mit Schadprogrammen
OPS.1.1.4.A10 Nutzung spezieller Analyseumgebungen
OPS.1.1.4.A11 Einsatz mehrerer Scan-Engines
OPS.1.1.4.A12 Einsatz von Datenträgerschleusen
OPS.1.1.4.A13 Umgang mit nicht vertrauenswürdigen Dateien
OPS.1.1.4.A14 Auswahl und Einsatz von Cyber-Sicherheitsprodukten gegen gezielte Angriffe
OPS.1.1.5.A12 Verschlüsselung der Protokollierungsdaten
OPS.1.1.6.A7 Personalauswahl der Software-Tester
OPS.1.1.6.A16 Sicherheitsüberprüfung der Tester
OPS.1.2.2.A8 Protokollierung der Archivzugriffe
OPS.1.2.2.A21 Übertragung von Papierdaten in elektronische Archive
OPS.1.2.4.A1 Regelungen für Telearbeit
OPS.1.2.4.A2 Sicherheitstechnische Anforderungen an den Telearbeitsrechner
OPS.1.2.4.A5 Sensibilisierung und Schulung der Telearbeiter
OPS.1.2.4.A7 Regelung der Nutzung von Kommunikationsmöglichkeiten bei Telearbeit
OPS.1.2.5.A3 Absicherung der Schnittstellen zur Fernwartung
OPS.1.2.5.A8 Sichere Protokolle bei der Fernwartung
OPS.1.2.5.A17 Authentisierungsmechanismen bei der Fernwartung
OPS.2.1.A7 Festlegung der möglichen Kommunikationspartner
OPS.2.1.A8 Regelungen für den Einsatz des Personals des Outsourcing-Dienstleiters
OPS.2.1.A9 Vereinbarung über die Anbindung an Netze der Outsourcing-Partner
OPS.2.1.A10 Vereinbarung über Datenaustausch zwischen den Outsourcing-Partnern
OPS.2.2.A17 Einsatz von Verschlüsselung bei Cloud-Nutzung
OPS.2.2.A19 Sicherheitsüberprüfung von Mitarbeitern
OPS.3.1.A4 Festlegung der möglichen Kommunikationspartner
OPS.3.1.A8 Vereinbarung über die Anbindung an Netze der Outsourcing-Partner
OPS.3.1.A9 Vereinbarung über Datenaustausch zwischen den Outsourcing-Partnern
ORP.1.A1 Festlegung von Verantwortlichkeiten und Regelungen
ORP.1.A2 Zuweisung der Zuständigkeiten
ORP.1.A3 Beaufsichtigung oder Begleitung von Fremdpersonen
ORP.1.A8 Betriebsmittelverwaltung
ORP.1.A13 Sicherheit bei Umzügen
ORP.1.A15 Ansprechpartner zu Sicherheitsfragen
ORP.1.A16 Mitarbeiterrichtlinie zur sicheren IT-Nutzung
ORP.2.A1 Geregelte Einarbeitung neuer Mitarbeiter
ORP.2.A5 Vertraulichkeitsvereinbarungen für den Einsatz von Fremdpersonal
ORP.2.A13 Sicherheitsüberprüfung
ORP.2.A15 Qualifikation des Personals
ORP.3.A1 Sensibilisierung der Institutionsleitung für Informationssicherheit
ORP.3.A3 Einweisung des Personals in den sicheren Umgang mit IT
ORP.3.A7 Schulung zur Vorgehensweise nach IT-Grundschutz
ORP.3.A9 Spezielle Schulung von exponierten Personen und Institutionen
ORP.4.A9 Identifikation und Authentisierung
ORP.4.A10 Schutz von Benutzerkennungen mit weitreichenden Berechtigungen
ORP.4.A12 Entwicklung eines Authentisierungskonzeptes für IT-Systeme und Anwendungen
ORP.4.A13 Geeignete Auswahl von Authentisierungsmechanismen
ORP.4.A18 Einsatz eines zentralen Authentisierungsdienstes
ORP.4.A24 Vier-Augen-Prinzip für administrative Tätgkeiten
SYS.1.1.A2 Benutzerauthentisierung an Servern
SYS.1.1.A6 Deaktivierung nicht benötigter Dienste
SYS.1.1.A19 Einrichtung lokaler Paketfilter
SYS.1.1.A33 Aktive Verwaltung der Wurzelzertifikate
SYS.1.1.A34 Festplattenverschlüsselung
SYS.1.1.A35 Erstellung und Pflege eines Betriebshandbuchs
SYS.1.2.2.A2 Sichere Installation von Windows Server 2012
SYS.1.2.2.A3 Sichere Administration von Windows Server 2012
SYS.1.2.2.A4 Sichere Konfiguration von Windows Server 2012
SYS.1.2.2.A5 Schutz vor Schadsoftware auf Windows Server 2012
SYS.1.2.2.A6 Sichere Authentisierung und Autorisierung in Windows Server 2012
SYS.1.2.2.A11 Angriffserkennung bei Windows Server 2012
SYS.1.2.2.A14 Herunterfahren verschlüsselter Server und virtueller Maschinen
SYS.1.3.A2 Sorgfältige Vergabe von IDs
SYS.1.3.A8 Verschlüsselter Zugriff über Secure Shell
SYS.1.3.A14 Verhinderung des Ausspähens von System- und Benutzerinformationen
SYS.1.3.A16 Zusätzliche Verhinderung der Ausbreitung bei der Ausnutzung von Schwachstellen
SYS.1.3.A17 Zusätzlicher Schutz des Kernels
SYS.1.5.A16 Kapselung der virtuellen Maschinen
SYS.1.5.A23 Rechte-Einschränkung der virtuellen Maschinen
SYS.1.5.A28 Verschlüsselung von virtuellen IT-Systemen
SYS.1.6.A1 Planung des Container-Einsatzes
SYS.1.6.A2 Planung der Verwaltung
SYS.1.6.A3 Sicherer Einsatz containerisierter IT-Systeme
SYS.1.6.A5 Separierung der Administrations- und Zugangsnetze bei Containern
SYS.1.6.A6 Verwendung sicherer Images
SYS.1.6.A7 Persistenz von Protokollierungsdaten der Container
SYS.1.6.A8 Speicherung von Zugangsdaten bei Containern
SYS.1.6.A10 Richtlinie für Images und Container-Betrieb
SYS.1.6.A12 Verteilung sicherer Images
SYS.1.6.A14 Aktualisierung von Images
SYS.1.6.A16 Administrativer Fernzugriff auf Container
SYS.1.6.A17 Ausführung von Containern ohne Privilegien
SYS.1.6.A18 Accounts der Anwendungsdienste
SYS.1.6.A19 Einbinden von Datenspeichern in Container
SYS.1.6.A21 Erweiterte Sicherheitsrichtlinien
SYS.1.6.A24 Hostbasierte Angriffserkennung
SYS.1.6.A26 Weitergehende Isolation und Kapselung von Containern
SYS.1.7.A1 Einsatz restriktiver z/OS-Kennungen
SYS.1.7.A2 Absicherung sicherheitskritischer z/OS-Dienstprogramme
SYS.1.7.A5 Einsatz und Sicherung systemnaher z/OS-Terminals
SYS.1.7.A6 Einsatz und Sicherung der Remote Support Facility
SYS.1.7.A7 Restriktive Autorisierung unter z/OS
SYS.1.7.A8 Einsatz des z/OS-Sicherheitssystems RACF
SYS.1.7.A9 Mandantenfähigkeit unter z/OS
SYS.1.7.A11 Schutz der Session-Daten
SYS.1.7.A14 Berichtswesen zum sicheren Betrieb von z/OS
SYS.1.7.A16 Überwachung von z/OS-Systemen
SYS.1.7.A19 Absicherung von z/OS-Transaktionsmonitoren
SYS.1.7.A22 Absicherung der Betriebsfunktionen von z/OS
SYS.1.7.A23 Absicherung von z/VM
SYS.1.7.A24 Datenträgerverwaltung unter z/OS-Systemen
SYS.1.7.A29 Absicherung von Unix System Services bei z/OS-Systemen
SYS.1.7.A30 Absicherung der z/OS-Trace-Funktionen
SYS.1.7.A33 Trennung von Test- und Produktionssystemen unter z/OS
SYS.1.7.A34 Batch-Job-Planung für z/OS-Systeme
SYS.1.7.A35 Einsatz von RACF-Exits
SYS.1.7.A36 Interne Kommunikation von Betriebssystemen
SYS.1.7.A38 Einsatz des VTAM Session Management Exit unter z/OS
SYS.2.1.A21 Verhinderung der unautorisierten Nutzung von Rechnermikrofonen und Kameras
SYS.2.1.A24 Umgang mit externen Medien und Wechseldatenträgern
SYS.2.1.A28 Verschlüsselung der Clients
SYS.2.1.A35 Aktive Verwaltung der Wurzelzertifikate
SYS.2.1.A37 Verwendung von Mehr-Faktor-Authentisierung
SYS.2.2.3.A21 Einsatz des Encrypting File Systems
SYS.2.2.3.A23 Erweiterter Schutz der Anmeldeinformationen unter Windows 10
SYS.2.4.A2 Nutzung der integrierten Sicherheitsfunktionen von macOS
SYS.2.4.A4 Verwendung einer Festplattenverschlüsselung
SYS.2.4.A5 Deaktivierung sicherheitskritischer Funktionen von macOS
SYS.2.4.A7 Zwei-Faktor-Authentisierung für Apple-ID
SYS.2.4.A8 Keine Nutzung von iCloud für schützenswerte Daten
SYS.2.4.A9 Verwendung von zusätzlichen Schutzprogrammen unter macOS
SYS.2.4.A11 Geräteaussonderung von Macs
SYS.2.4.A12 Firmware-Kennwort und Boot-Schutz auf Macs
SYS.3.1.A1 Regelungen zur mobilen Nutzung von Laptops
SYS.3.1.A3 Einsatz von Personal Firewalls
SYS.3.1.A6 Sicherheitsrichtlinien für Laptops
SYS.3.1.A7 Geregelte Übergabe und Rücknahme eines Laptops
SYS.3.1.A8 Sicherer Anschluss von Laptops an Datennetze
SYS.3.1.A9 Sicherer Fernzugriff mit Laptops
SYS.3.1.A12 Verlustmeldung für Laptops
SYS.3.1.A13 Verschlüsselung von Laptops
SYS.3.1.A14 Geeignete Aufbewahrung von Laptops
SYS.3.2.1.A6 Datenschutzeinstellungen
SYS.3.2.1.A11 Verschlüsselung des Speichers
SYS.3.2.1.A26 Nutzung von PIM-Containern
SYS.3.2.1.A28 Verwendung der Filteroption für Webseiten
SYS.3.2.2.A4 Verteilung der Grundkonfiguration auf mobile Endgeräte
SYS.3.2.2.A5 Installation des MDM Clients
SYS.3.2.2.A7 Auswahl und Freigabe von Apps
SYS.3.2.2.A14 Benutzung externer Reputation-Services für Apps
SYS.3.2.2.A19 Einsatz von Geofencing
SYS.3.2.2.A21 Verwaltung von Zertifikaten
SYS.3.2.2.A22 Fernlöschung und Außerbetriebnahme von Endgeräten
SYS.3.2.3.A1 Strategie für die iOS-Nutzung
SYS.3.2.3.A2 Planung des Einsatzes von Cloud-Diensten
SYS.3.2.3.A12 Verwendung von Apple-IDs
SYS.3.2.3.A13 Verwendung der Konfigurationsoption “Einschränkungen unter iOS”
SYS.3.2.3.A14 Verwendung der iCloud-Infrastruktur
SYS.3.2.3.A17 Verwendung der Gerätecode-Historie
SYS.3.2.3.A21 Freigabe von Apps und Einbindung des Apple App Stores
SYS.3.2.3.A26 Keine Verbindung mit Host-Systemen
SYS.3.2.4.A2 Deaktivieren der Entwickler-Optionen
SYS.3.3.A1 Sicherheitsrichtlinien und Regelungen für die Mobiltelefon-Nutzung
SYS.3.3.A3 Sensibilisierung und Schulung der Mitarbeiter im Umgang mit Mobiltelefonen
SYS.3.3.A4 Aussonderung und ordnungsgemäße Entsorgung von Mobiltelefonen und darin verwendeter Speicherkarten
SYS.3.3.A5 Nutzung der Sicherheitsmechanismen von Mobiltelefonen
SYS.3.3.A8 Nutzung drahtloser Schnittstellen von Mobiltelefonen
SYS.3.3.A10 Sichere Datenübertragung über Mobiltelefone
SYS.3.3.A13 Schutz vor der Erstellung von Bewegungsprofilen bei der Mobilfunk-Nutzung
SYS.3.3.A14 Schutz vor Rufnummernermittlung bei der Mobiltelefon-Nutzung
SYS.3.3.A15 Schutz vor Abhören der Raumgespräche über Mobiltelefone
SYS.4.4.A1 Einsatzkriterien für IoT-Geräte
SYS.4.4.A2 Authentisierung
SYS.4.4.A5 Einschränkung des Netzzugriffs
SYS.4.4.A6 Aufnahme von IoT-Geräten in die Sicherheitsrichtlinie der Institution
SYS.4.4.A8 Beschaffungskriterien für IoT-Geräte
SYS.4.4.A9 Regelung des Einsatzes von IoT-Geräten
SYS.4.4.A10 Sichere Installation und Konfiguration von IoT-Geräten
SYS.4.4.A11 Verwendung von verschlüsselter Datenübertragung
SYS.4.4.A13 Deaktivierung und Deinstallation nicht benötigter Komponenten
SYS.4.4.A15 Restriktive Rechtevergabe
SYS.4.4.A17 Überwachung des Netzverkehrs von IoT-Geräten
SYS.4.4.A18 Protokollierung sicherheitsrelevanter Ereignisse bei IoT-Geräten
SYS.4.4.A19 Schutz der Administrationsschnittstellen
SYS.4.4.A23 Auditierung von IoT-Geräten
SYS.4.4.A24 Sichere Konfiguration und Nutzung eines eingebetteten Webservers
SYS.4.5.A10 Datenträgerverschlüsselung
Mit Abhören werden gezielte Angriffe auf Kommunikationsverbindungen, Gespräche, Geräuschquellen aller Art oder IT-Systeme zur Informationssammlung bezeichnet. Dies beginnt beim unbemerkten, heimlichen Belauschen eines Gesprächs und reicht bis zu hoch technisierten komplexen Angriffen, um über Funk oder Leitungen gesendete Signale abzufangen, z. B. mit Hilfe von Antennen oder Sensoren.
Nicht nur wegen des geringen Entdeckungsrisikos ist das Abhören von Leitungen oder Funkverbindungen eine nicht zu vernachlässigende Gefährdung der Informationssicherheit. Grundsätzlich gibt es keine abhörsicheren Kabel. Lediglich der erforderliche Aufwand zum Abhören unterscheidet die Kabel. Ob eine Leitung tatsächlich abgehört wird, ist nur mit hohem messtechnischen Aufwand feststellbar.
Besonders kritisch ist die ungeschützte Übertragung von Authentisierungsdaten bei Klartextprotokollen wie HTTP, FTP oder Telnet, da diese durch die klare Strukturierung der Daten leicht automatisch zu analysieren sind.
Der Entschluss, irgendwo Informationen abzuhören, wird im Wesentlichen durch die Frage bestimmt, ob die Informationen den technischen bzw. den finanziellen Aufwand und das Risiko der Entdeckung wert sind. Die Beantwortung dieser Frage ist sehr von den individuellen Möglichkeiten und Interessen des Angreifers abhängig.
Beispiele:
APP.1.2.A2 Unterstützung sicherer Verschlüsselung der Kommunikation
APP.1.2.A13 Nutzung von DNS-over-HTTPS
APP.1.4.A1 Anforderungsanalyse für die Nutzung von Apps
APP.1.4.A5 Minimierung und Kontrolle von App-Berechtigungen
APP.1.4.A8 Verhinderung von Datenabfluss
APP.2.1.A2 Planung des Einsatzes von Verzeichnisdiensten
APP.2.1.A3 Einrichtung von Zugriffsberechtigungen auf Verzeichnisdienste
APP.2.1.A6 Sicherer Betrieb von Verzeichnisdiensten
APP.2.1.A13 Absicherung der Kommunikation mit Verzeichnisdiensten
APP.2.2.A1 Planung des Active Directory
APP.2.2.A2 Planung der Active-Directory-Administration
APP.2.2.A3 Planung der Gruppenrichtlinien unter Windows
APP.2.2.A5 Härtung des Active Directory
APP.2.2.A6 Aufrechterhaltung der Betriebssicherheit von Active Directory
APP.2.2.A7 Umsetzung sicherer Verwaltungsmethoden für Active Directory
APP.2.2.A8 Konfiguration des “Sicheren Kanals” unter Windows
APP.2.2.A9 Schutz der Authentisierung beim Einsatz von Active Directory
APP.2.2.A14 Verwendung dedizierter privilegierter Administrationssysteme
APP.2.2.A15 Trennung von Administrations- und Produktionsumgebung
APP.2.3.A1 Planung und Auswahl von Backends und Overlays für OpenLDAP
APP.2.3.A3 Sichere Konfiguration von OpenLDAP
APP.2.3.A5 Sichere Vergabe von Zugriffsrechten auf dem OpenLDAP
APP.2.3.A6 Sichere Authentisierung gegenüber OpenLDAP
APP.2.3.A9 Partitionierung und Replikation bei OpenLDAP
APP.2.3.A10 Sichere Aktualisierung von OpenLDAP
APP.2.3.A11 Einschränkung der OpenLDAP-Laufzeitumgebung
APP.3.1.A11 Sichere Anbindung von Hintergrundsystemen
APP.3.2.A5 Authentisierung
APP.3.2.A11 Verschlüsselung über TLS
APP.3.4.A2 Sichere Grundkonfiguration eines Samba-Servers
APP.3.4.A15 Verschlüsselung der Datenpakete unter Samba
APP.4.3.A3 Basishärtung des Datenbankmanagementsystems
APP.4.3.A16 Verschlüsselung der Datenbankanbindung
APP.5.2.A11 Absicherung der Kommunikation zwischen Exchange-Systemen
CON.1.A3 Verschlüsselung der Kommunikationsverbindungen
CON.7.A7 Sicherer Remote-Zugriff auf das Netz der Institution
CON.7.A8 Sichere Nutzung von öffentlichen WLANs
CON.7.A14 Kryptografisch abgesicherte E-Mail-Kommunikation
CON.8.A5 Sicheres Systemdesign
CON.8.A6 Verwendung von externen Bibliotheken aus vertrauenswürdigen Quellen
CON.8.A16 Geeignete Steuerung der Software-Entwicklung
CON.8.A17 Auswahl vertrauenswürdiger Entwicklungswerkzeuge
DER.2.3.A2 Entscheidung für eine Bereinigungsstrategie
DER.2.3.A4 Sperrung und Änderung von Zugangsdaten und kryptografischen Schlüsseln
DER.2.3.A5 Schließen des initialen Einbruchswegs
DER.2.3.A7 Gezielte Systemhärtung
DER.2.3.A8 Etablierung sicherer
DER.2.3.A9 Hardwaretausch betroffener IT-Systeme
DER.2.3.A10 Umbauten zur Erschwerung eines erneuten Angriffs durch denselben Angreifer
IND.1.A5 Entwicklung eines geeigneten Zonenkonzepts
IND.2.1.A4 Deaktivierung oder Deinstallation nicht genutzter Dienste, Funktionen und Schnittstellen
IND.2.1.A6 Netzsegmentierung
IND.2.1.A13 Geeignete Inbetriebnahme der ICS-Komponenten
IND.2.7.A1 Erfassung und Dokumentation
IND.2.7.A2 Zweckgebundene Nutzung der Hard- und Softwarekomponenten
IND.2.7.A4 Verankerung von Informationssicherheit im Functional Safety Management
IND.2.7.A6 Sichere Planung und Spezifikation des SIS
IND.2.7.A7 Trennung und Unabhängigkeit des SIS von der Umgebung
IND.2.7.A9 Absicherung der Daten- und Signalverbindungen
IND.2.7.A11 Umgang mit integrierten Systemen
INF.2.A23 Sicher strukturierte Verkabelung im Rechenzentrum
INF.7.A1 Geeignete Auswahl und Nutzung eines Büroraumes
INF.7.A7 Geeignete Aufbewahrung dienstlicher Unterlagen und Datenträger
INF.8.A3 Schutz vor unbefugtem Zutritt am häuslichen Arbeitsplatz
INF.8.A4 Geeignete Einrichtung des häuslichen Arbeitsplatzes
INF.8.A6 Umgang mit dienstlichen Unterlagen bei erhöhtem Schutzbedarf am häuslichen Arbeitsplatz
INF.10.A4 Planung von Besprechungs-, Veranstaltungs- und Schulungsräumen
INF.10.A6 Einrichtung sicherer Netzzugänge
INF.10.A9 Zurücksetzen von Schulungs- und Präsentationsrechnern
INF.10.A10 Mitführverbot von Mobiltelefonen
INF.11.A15 Physische Absicherung der Schnittstellen
INF.12.A3 Fachgerechte Installation
INF.12.A9 Brandaschutz in Trassen
INF.12.A10 Dokumentation der Verkabelung
INF.12.A11 Neutrale Dokumentation in den Verteilern
INF.12.A15 Materielle Sicherung der Verkabelung
INF.12.A16 Nutzung von Schranksystemen
INF.13.A11 Angemessene Härtung von Systemen im TGM
INF.13.A13 Sichere Anbindung von eingeschränkt vertrauenswürdigen Systemen im TGM
INF.13.A26 Absicherung von BIM
INF.14.A3 Sichere Anbindung von TGA-Anlagen und GA-Systemen
INF.14.A11 Absicherung von frei zugänglichen Ports und Zugängen der GA
INF.14.A12 Nutzung sicherer Übertragungsprotokolle für die GA
INF.14.A15 Absicherung von GA-spezifischen Netzen
INF.14.A16 Absicherung von drahtloser Kommunikation in GA-Netzen
INF.14.A17 Absicherung von Mobilfunkkommunikation in GA-Netzen
INF.14.A18 Sichere Anbindung von GA-eXternen Systemen
INF.14.A20 Vermeidung von Broadcast-Kommunikation in GA-Netzen [Planer]
INF.14.A28 Physische Trennung der GA
INF.14.A29 Trennung einzelner TGA-Anlagen
NET.1.1.A7 Absicherung von schützenswerten Informationen
NET.1.1.A34 Einsatz kryptografischer Verfahren auf Netzebene
NET.1.2.A9 Absicherung der Netzmanagement-Kommunikation
NET.1.2.A10 Beschränkung der SNMP-Kommunikation
NET.1.2.A14 Fein- und Umsetzungsplanung
NET.1.2.A21 Entkopplung der Netzmanagement-Kommunikation
NET.1.2.A31 Grundsätzliche Nutzung von sicheren Protokollen
NET.2.1.A2 Auswahl eines geeigneten WLAN-Standards
NET.2.1.A3 Auswahl geeigneter Kryptoverfahren für WLAN
NET.2.1.A5 Sichere Basis-Konfiguration der Access Points
NET.2.1.A6 Sichere Konfiguration der WLAN-Infrastruktur
NET.2.1.A7 Aufbau eines Distribution Systems
NET.2.1.A8 Verhaltensregeln bei WLAN-Sicherheitsvorfällen
NET.2.1.A9 Sichere Anbindung von WLANs an ein LAN
NET.2.1.A10 Erstellung einer Sicherheitsrichtlinie für den Betrieb von WLANs
NET.2.1.A15 Verwendung eines VPN zur Absicherung von WLANs
NET.2.1.A16 Zusätzliche Absicherung bei der Anbindung von WLANs an ein LAN
NET.2.1.A17 Absicherung der Kommunikation zwischen Access Points
NET.2.2.A1 Erstellung einer Benutzerrichtlinie für WLAN
NET.2.2.A2 Sensibilisierung und Schulung der WLAN-Benutzer
NET.2.2.A3 Absicherung der WLAN-Nutzung in unsicheren Umgebungen
NET.3.1.A4 Schutz der Administrationsschnittstellen
NET.3.1.A5 Schutz vor Fragmentierungsangriffen
NET.3.1.A6 Notfallzugriff auf Router und Switches
NET.3.1.A9 Betriebsdokumentationen
NET.3.1.A11 Beschaffung eines Routers oder Switches
NET.3.1.A12 Erstellung einer Konfigurations-Checkliste für Router und Switches
NET.3.1.A13 Administration über ein gesondertes Managementnetz
NET.3.1.A14 Schutz vor Missbrauch von ICMP-Nachrichten
NET.3.1.A22 Notfallvorsorge bei Routern und Switches
NET.3.1.A23 Revision und Penetrationstests
NET.3.1.A24 Einsatz von Netzzugangskontrollen
NET.3.1.A25 Erweiterter Integritätsschutz für die Konfigurationsdateien
NET.3.1.A26 Hochverfügbarkeit
NET.3.1.A27 Bandbreitenmanagement für kritische Anwendungen und Dienste
NET.4.1.A5 Protokollierung bei TK-Anlagen
NET.4.1.A7 Aufstellung der TK-Anlage
NET.4.1.A8 Einschränkung und Sperrung nicht benötigter oder sicherheitskritischer Leistungsmerkmale
NET.4.1.A17 Wartung von TK-Anlagen
NET.4.2.A1 Planung des VoIP-Einsatzes
NET.4.2.A7 Erstellung einer Sicherheitsrichtlinie für VoIP
NET.4.2.A8 Verschlüsselung von VoIP
NET.4.2.A9 Geeignete Auswahl von VoIP-Komponenten
NET.4.2.A13 Anforderungen an eine Firewall für den Einsatz von VoIP
NET.4.2.A14 Verschlüsselung der Signalisierung
OPS.1.1.5.A12 Verschlüsselung der Protokollierungsdaten
OPS.1.1.7.A4 Absicherung der Systemmanagement-Kommunikation
OPS.1.1.7.A5 Gegenseitige Authentisierung von Systemmanagement-Lösung und zu verwaltenden Systemen
OPS.1.1.7.A6 Absicherung des Zugriffs auf die Systemmanagement-Lösung
OPS.1.1.7.A7 Festlegung einer Sicherheitsrichtlinie für das Systemmanagement
OPS.1.1.7.A10 Konzept für den sicheren Betrieb der Systemmanagement-Lösung
OPS.1.1.7.A11 Regelmäßiger Soll-Ist-Vergleich im Rahmen des Systemmanagements
OPS.1.1.7.A17 Kontrolle der Systemmanagement-Kommunikation
OPS.1.1.7.A18 Überprüfung des Systemzustands
OPS.1.1.7.A19 Absicherung der Systemmanagement-Kommunikation zwischen der Systemmanagement-Lösung und den zu verwaltenden Systemen
OPS.1.1.7.A21 Physische Trennung der zentralen Systemmanagementnetze
OPS.1.1.7.A22 Einbindung des Systemmanagements in automatisierte Detektionssysteme
OPS.1.1.7.A26 Entkopplung von Zugriffen auf die Systemmanagement-Lösung
OPS.2.1.A9 Vereinbarung über die Anbindung an Netze der Outsourcing-Partner
OPS.2.1.A10 Vereinbarung über Datenaustausch zwischen den Outsourcing-Partnern
OPS.2.2.A7 Erstellung eines Sicherheitskonzeptes für die Cloud-Nutzung
OPS.2.2.A13 Nachweis einer ausreichenden Informationssicherheit bei der Cloud-Nutzung
OPS.2.2.A17 Einsatz von Verschlüsselung bei Cloud-Nutzung
ORP.3.A1 Sensibilisierung der Institutionsleitung für Informationssicherheit
ORP.3.A3 Einweisung des Personals in den sicheren Umgang mit IT
ORP.3.A7 Schulung zur Vorgehensweise nach IT-Grundschutz
ORP.3.A9 Spezielle Schulung von exponierten Personen und Institutionen
ORP.4.A9 Identifikation und Authentisierung
ORP.4.A18 Einsatz eines zentralen Authentisierungsdienstes
SYS.1.2.2.A2 Sichere Installation von Windows Server 2012
SYS.1.2.2.A3 Sichere Administration von Windows Server 2012
SYS.1.2.2.A4 Sichere Konfiguration von Windows Server 2012
SYS.1.2.2.A5 Schutz vor Schadsoftware auf Windows Server 2012
SYS.1.2.2.A6 Sichere Authentisierung und Autorisierung in Windows Server 2012
SYS.1.5.A5 Schutz der Administrationsschnittstellen
SYS.1.5.A11 Administration der Virtualisierungsinfrastruktur über ein gesondertes Managementnetz
SYS.1.5.A16 Kapselung der virtuellen Maschinen
SYS.1.5.A26 Einsatz einer PKI
SYS.1.5.A27 Einsatz zertifizierter Virtualisierungssoftware
SYS.1.8.A2 Sichere Grundkonfiguration von Speicherlösungen
SYS.1.8.A23 Einsatz von Verschlüsselung für Speicherlösungen
SYS.2.1.A18 Nutzung von verschlüsselten Kommunikationsverbindungen
SYS.2.1.A21 Verhinderung der unautorisierten Nutzung von Rechnermikrofonen und Kameras
SYS.2.1.A35 Aktive Verwaltung der Wurzelzertifikate
SYS.2.2.3.A1 Planung des Einsatzes von Cloud-Diensten unter Windows 10
SYS.2.2.3.A14 Einsatz des Sprachassistenten Cortana
SYS.3.2.1.A16 Deaktivierung nicht benutzter Kommunikationsschnittstellen
SYS.3.2.1.A19 Verwendung von Sprachassistenten
SYS.3.2.1.A22 Einbindung mobiler Geräte in die interne Infrastruktur via VPN
SYS.3.2.1.A34 Konfiguration des verwendeten DNS-Servers
SYS.3.2.2.A21 Verwaltung von Zertifikaten
SYS.3.2.2.A22 Fernlöschung und Außerbetriebnahme von Endgeräten
SYS.3.3.A1 Sicherheitsrichtlinien und Regelungen für die Mobiltelefon-Nutzung
SYS.3.3.A3 Sensibilisierung und Schulung der Mitarbeiter im Umgang mit Mobiltelefonen
SYS.3.3.A4 Aussonderung und ordnungsgemäße Entsorgung von Mobiltelefonen und darin verwendeter Speicherkarten
SYS.3.3.A8 Nutzung drahtloser Schnittstellen von Mobiltelefonen
SYS.3.3.A10 Sichere Datenübertragung über Mobiltelefone
SYS.3.3.A15 Schutz vor Abhören der Raumgespräche über Mobiltelefone
SYS.4.1.A7 Beschränkung der administrativen Fernzugriffe auf Drucker
SYS.4.1.A11 Einschränkung der Anbindung von Druckern
SYS.4.3.A8 Einsatz eines sicheren Betriebssystem für eingebettete Systeme
SYS.4.3.A9 Einsatz kryptografischer Prozessoren bzw. Koprozessoren bei eingebetteten Systemen
SYS.4.3.A11 Sichere Aussonderung eines eingebetteten Systems
SYS.4.3.A13 Einsatz eines zertifizierten Betriebssystems
SYS.4.3.A18 Widerstandsfähigkeit eingebetteter Systeme gegen Seitenkanalangriffe
Durch den Diebstahl von Datenträgern, IT-Systemen, Zubehör, Software oder Daten entstehen einerseits Kosten für die Wiederbeschaffung sowie für die Wiederherstellung eines arbeitsfähigen Zustandes, andererseits Verluste aufgrund mangelnder Verfügbarkeit. Wenn durch den Diebstahl vertrauliche
Informationen offengelegt werden, kann dies weitere Schäden nach sich ziehen. Neben Servern und anderen teuren IT-Systemen werden auch mobile IT-Systeme, die unauffällig und leicht zu transportieren sind, häufig gestohlen. Es gibt aber auch Fälle, in denen gezielt Datenträger, wie Dokumente oder USB-Sticks, entwendet wurden, um an die darauf gespeicherten vertraulichen Informationen zu gelangen.
Beispiele:
Es gibt eine Vielzahl von Ursachen, die zu einem Verlust von Geräten, Datenträgern und Dokumenten führen können. Hierdurch ist unmittelbar die Verfügbarkeit betroffen, es können aber auch vertrauliche
Informationen in fremde Hände gelangen, wenn die Datenträger nicht komplett verschlüsselt sind. Durch die Wiederbeschaffung von Geräten oder Datenträgern entstehen Kosten, aber auch, wenn diese wieder auftauchen, können Informationen offengelegt oder unerwünschte Programme aufgespielt worden sein.
Besonders mobile Endgeräte und mobile Datenträger können leicht verloren gehen. Auf kleinen Speicherkarten können heute riesige Datenmengen gespeichert werden. Es kommt aber auch immer wieder vor, dass Dokumente in Papierform versehentlich liegen gelassen werden, beispielsweise in Gaststätten oder Verkehrsmitteln.
Beispiele:
APP.1.4.A1 Anforderungsanalyse für die Nutzung von Apps
APP.1.4.A7 Sichere Speicherung lokaler App-Daten
APP.1.4.A14 Unterstützung zusätzlicher Authentisierungsmerkmale bei Apps
CON.7.A1 Sicherheitsrichtlinie zur Informationssicherheit auf Auslandsreisen
CON.7.A3 Identifikation länderspezifischer Regelungen
CON.7.A11 Einsatz von Diebstahl-Sicherungen
CON.7.A13 Mitnahme notwendiger Daten und Datenträger
DER.2.2.A2 Erstellung eines Leitfadens für Erstmaßnahmen bei einem IT-Sicherheitsvorfall
DER.2.2.A5 Erstellung eines Leitfadens für Beweissicherungsmaßnahmen bei IT-Sicherheitsvorfällen
DER.2.2.A8 Auswahl und Reihenfolge der zu sichernden Beweismittel
DER.2.2.A9 Vorauswahl forensisch relevanter Daten
DER.2.2.A10 IT-forensische Sicherung von Beweismitteln
DER.2.2.A11 Dokumentation der Beweissicherung
DER.2.2.A12 Sichere Verwahrung von Originaldatenträgern und Beweismitteln
DER.2.2.A14 Festlegung von Standardverfahren für die Beweissicherung
DER.2.2.A15 Durchführung von Übungen zur Beweissicherung
IND.1.A19 Erstellung von Datensicherungen
IND.1.A20 Systemdokumentation
IND.1.A21 Dokumentation der Kommunikationsbeziehungen
INF.8.A1 Sichern von dienstlichen Unterlagen am häuslichen Arbeitsplatz
INF.8.A2 Transport von Arbeitsmaterial zum häuslichen Arbeitsplatz
INF.8.A3 Schutz vor unbefugtem Zutritt am häuslichen Arbeitsplatz
INF.8.A5 Entsorgung von vertraulichen Informationen am häuslichen Arbeitsplatz
INF.8.A6 Umgang mit dienstlichen Unterlagen bei erhöhtem Schutzbedarf am häuslichen Arbeitsplatz
INF.9.A9 Verschlüsselung tragbarer IT-Systeme und Datenträger
OPS.2.1.A6 Erstellung eines Sicherheitskonzepts für das Outsourcing-Vorhaben
OPS.2.1.A10 Vereinbarung über Datenaustausch zwischen den Outsourcing-Partnern
OPS.3.1.A9 Vereinbarung über Datenaustausch zwischen den Outsourcing-Partnern
ORP.2.A3 Festlegung von Vertretungsregelungen
ORP.2.A4 Festlegung von Regelungen für den Einsatz von Fremdpersonal
ORP.2.A5 Vertraulichkeitsvereinbarungen für den Einsatz von Fremdpersonal
SYS.2.4.A4 Verwendung einer Festplattenverschlüsselung
SYS.2.4.A12 Firmware-Kennwort und Boot-Schutz auf Macs
SYS.3.1.A1 Regelungen zur mobilen Nutzung von Laptops
SYS.3.1.A6 Sicherheitsrichtlinien für Laptops
SYS.3.1.A14 Geeignete Aufbewahrung von Laptops
SYS.3.1.A17 Sammelaufbewahrung von Laptops
SYS.3.2.1.A10 Richtlinie für Mitarbeiter zur Benutzung von mobilen Geräten
SYS.3.2.2.A22 Fernlöschung und Außerbetriebnahme von Endgeräten
SYS.3.3.A4 Aussonderung und ordnungsgemäße Entsorgung von Mobiltelefonen und darin verwendeter Speicherkarten
SYS.4.5.A1 Sensibilisierung der Mitarbeiter zum sicheren Umgang mit Wechseldatenträgern
SYS.4.5.A5 Regelung zur Mitnahme von Wechseldatenträgern
SYS.4.5.A6 Datenträgerverwaltung
SYS.4.5.A13 Angemessene Kennzeichnung der Datenträger beim Versand
SYS.4.5.A14 Sichere Versandart und Verpackung
Link von extern: https://dsz365.de/elementare-gefaehrdungen/#verlust
Wenn organisatorische Abläufe, die direkt oder indirekt der Informationsverarbeitung dienen, nicht sachgerecht gestaltet sind, kann dies zu Sicherheitsproblemen führen. Obwohl jeder einzelne Prozessschritt korrekt durchgeführt wird, kommt es oft zu Schäden, weil Prozesse insgesamt fehlerhaft definiert sind.
Eine weitere mögliche Ursache für Sicherheitsprobleme sind Abhängigkeiten mit anderen Prozessen, die selbst keinen offensichtlichen Bezug zur Informationsverarbeitung haben. Solche Abhängigkeiten können bei der Planung leicht übersehen werden und dadurch Beeinträchtigungen während des Betriebes auslösen.
Sicherheitsprobleme können außerdem dadurch entstehen, dass Aufgaben, Rollen oder Verantwortung nicht
eindeutig zugewiesen sind. Unter anderem kann es dadurch passieren, dass Abläufe verzögert, Sicherheitsmaßnahmen vernachlässigt oder Regelungen missachtet werden.
Gefahr besteht auch, wenn Geräte, Produkte, Verfahren oder andere Mittel zur Realisierung der
Informationsverarbeitung nicht sachgerecht eingesetzt werden. Die Auswahl eines ungeeigneten Produktes
oder Schwachstellen beispielsweise in der Anwendungsarchitektur oder im Netzdesign können zu Sicherheitsproblemen führen.
Beispiele:
Die Informationstechnik und das gesamte Umfeld einer Behörde bzw. eines Unternehmens ändern sich ständig. Sei es, dass Mitarbeiter ausscheiden oder hinzukommen, neue Hard- oder Software beschafft wird oder ein Zulieferbetrieb Konkurs anmeldet. Werden die dadurch notwendigen organisatorischen und technischen Anpassungen nicht oder nur ungenügend berücksichtigt, können sich Gefährdungen ergeben. Beispiele:
Vertrauliche Daten und Informationen dürfen nur den zur Kenntnisnahme berechtigten Personen zugänglich sein. Neben der Integrität und der Verfügbarkeit gehört die Vertraulichkeit zu den Grundwerten der Informationssicherheit. Für vertrauliche Informationen (wie Passwörter, personenbezogene Daten, Firmen- oder Amtsgeheimnisse, Entwicklungsdaten) besteht die inhärente Gefahr, dass diese durch technisches Versagen, Unachtsamkeit oder auch durch vorsätzliche Handlungen offengelegt werden.
Dabei kann auf diese vertraulichen Informationen an unterschiedlichen Stellen zugegriffen werden, beispielsweise
Auch die Art und Weise, wie Informationen offengelegt werden, kann sehr unterschiedlich sein, zum Beispiel:
Werden schützenswerte Informationen offengelegt, kann dies schwerwiegende Folgen für eine Institution haben. Unter anderem kann der Verlust der Vertraulichkeit zu folgenden negativen Auswirkungen für eine Institution führen:
Ein Verlust der Vertraulichkeit wird nicht immer sofort bemerkt. Oft stellt sich erst später heraus, z. B. durch Presseanfragen, dass Unbefugte sich Zugang zu vertraulichen Informationen verschafft haben.
Beispiel:
Wenn Informationen, Software oder Geräte verwendet werden, die aus unzuverlässigen Quellen stammen oder deren Herkunft und Korrektheit nicht ausreichend geprüft wurden, kann der Einsatz hohe Gefahren mit sich bringen. Dies kann unter anderem dazu führen, dass geschäftsrelevante Informationen auf einer falschen Datenbasis beruhen, dass Berechnungen falsche Ergebnisse liefern oder dass falsche Entscheidungen getroffen werden. Ebenso können aber auch Integrität und Verfügbarkeit von IT-Systemen beeinträchtigt werden.
Beispiele:
Als Manipulation wird jede Form von gezielten, aber heimlichen Eingriffen bezeichnet, um Zielobjekte aller
Art unbemerkt zu verändern. Manipulationen an Hard- oder Software können unter anderem aus Rachegefühlen, um einen Schaden mutwillig zu erzeugen, zur Verschaffung persönlicher Vorteile oder zur Bereicherung vorgenommen werden. Im Fokus können dabei Geräte aller Art, Zubehör, Datenträger (z. B. DVDs, USB-Sticks), Applikationen, Datenbanken oder ähnliches stehen.
Manipulationen an Hard- und Software führen nicht immer zu einem unmittelbaren Schaden. Wenn jedoch die damit verarbeiteten Informationen beeinträchtigt werden, kann dies alle Arten von
Sicherheitsauswirkungen nach sich ziehen (Verlust von Vertraulichkeit, Integrität oder Verfügbarkeit). Die
Manipulationen können dabei umso wirkungsvoller sein, je später sie entdeckt werden, je umfassender die
Kenntnisse der Täter sind und je tiefgreifender die Auswirkungen auf einen Arbeitsvorgang sind. Die Auswirkungen reichen von der unerlaubten Einsichtnahme in schützenswerte Daten bis hin zur Zerstörung von Datenträgern oder IT-Systemen. Manipulationen können dadurch auch erhebliche Ausfallzeiten nach sich ziehen.
Beispiele:
Informationen können auf vielfältige Weise manipuliert werden, z. B. durch fehlerhaftes oder vorsätzlich falsches Erfassen von Daten, inhaltliche Änderung von Datenbank-Feldern oder von Schriftverkehr. Grundsätzlich betrifft dies nicht nur digitale Informationen, sondern beispielsweise auch Dokumente in
Papierform. Ein Täter kann allerdings nur die Informationen manipulieren, auf die er Zugriff hat. Je mehr
Zugriffsrechte eine Person auf Dateien und Verzeichnisse von IT-Systemen besitzt bzw. je mehr Zugriffsmöglichkeiten auf Informationen sie hat, desto schwerwiegendere Manipulationen kann sie vornehmen. Falls die Manipulationen nicht frühzeitig erkannt werden, kann der reibungslose Ablauf von Geschäftsprozessen und Fachaufgaben dadurch empfindlich gestört werden.
Archivierte Dokumente stellen meist schützenswerte Informationen dar. Die Manipulation solcher Dokumente ist besonders schwerwiegend, da sie unter Umständen erst nach Jahren bemerkt wird und eine Überprüfung dann oft nicht mehr möglich ist.
Beispiel:
Grundsätzlich beinhaltet jede Schnittstelle an einem IT-System nicht nur die Möglichkeit, darüber bestimmte Dienste des IT-Systems berechtigt zu nutzen, sondern auch das Risiko, dass darüber unbefugt auf das IT-System zugegriffen wird.
Beispiele:
Durch Fahrlässigkeit, unsachgemäße Verwendung aber auch durch ungeschulten Umgang kann es zu Zerstörungen an Geräten und Datenträgern kommen, die den Betrieb des IT-Systems empfindlich stören können.
Es besteht außerdem die Gefahr, dass durch die Zerstörung wichtige Informationen verloren gehen, die nicht oder nur mit großem Aufwand rekonstruiert werden können.
Beispiele:
Wut an seinem Arbeitsplatzrechner ausließ. Hierbei wurde die Festplatte durch Fußtritte gegen den Rechner so stark beschädigt, dass sie unbrauchbar wurde. Die hier gespeicherten Daten konnten nur teilweise wieder durch ein Backup vom Vortag rekonstruiert werden.
inem IT-System nicht nur die Möglichkeit, darüber bestimmte Dienste des IT-Systems berechtigt zu nutzen, sondern auch das Risiko, dass darüber unbefugt auf das IT-System zugegriffen wird.
Beispiele:
Link von Extern: https://dsz365.de/elementare-gefaehrdungen/#zerstoerung
Werden auf einem IT-System zeitkritische Anwendungen betrieben, sind die Folgeschäden nach einem Systemausfall entsprechend hoch, wenn es keine Ausweichmöglichkeiten gibt.
Beispiele:
Geräte und Systeme, die der Informationsverarbeitung dienen, haben heute häufig viele Funktionen und sind deshalb entsprechend komplex aufgebaut. Grundsätzlich betrifft dies sowohl Hardware- als auch Software-Komponenten. Durch die Komplexität gibt es in solchen Komponenten viele unterschiedliche Fehlerquellen. Als Folge kommt es immer wieder dazu, dass Geräte und Systeme nicht wie vorgesehen funktionieren und dadurch Sicherheitsprobleme entstehen.
Ursachen für Fehlfunktionen gibt es viele, zum Beispiel Materialermüdung, Fertigungstoleranzen, konzeptionelle Schwächen, Überschreitung von Grenzwerten, nicht vorgesehene Einsatzbedingungen oder fehlende Wartung. Da es keine perfekten Geräte und Systeme gibt, muss eine gewisse Restwahrscheinlichkeit für Fehlfunktionen ohnehin immer akzeptiert werden.
Durch Fehlfunktionen von Geräten oder Systemen können alle Grundwerte der Informationssicherheit
(Vertraulichkeit, Integrität, Verfügbarkeit) beeinträchtigt werden. Hinzu kommt, dass Fehlfunktionen unter Umständen auch über einen längeren Zeitraum unbemerkt bleiben können. Dadurch kann es beispielsweise passieren, dass Berechnungsergebnisse verfälscht und nicht rechtzeitig korrigiert werden.
Beispiele:
Wenn die vorhandenen Ressourcen in einem Bereich unzureichend sind, kann es zu Engpässen in der Versorgung mit diesen Ressourcen bis hin zu Überlastungen und Ausfällen kommen. Je nach Art der betroffenen Ressourcen können durch ein kleines Ereignis, dessen Eintritt zudem vorhersehbar war, im Endeffekt eine Vielzahl von Geschäftsprozessen beeinträchtigt werden. Ressourcenmangel kann im ITBetrieb und bei Kommunikationsverbindungen auftreten, aber auch in anderen Bereichen einer Institution. Werden für bestimmte Aufgaben nur unzureichende personelle, zeitliche und finanzielle Ressourcen zur Verfügung gestellt, kann das vielfältige negative Auswirkungen haben. Es kann beispielsweise passieren, dass die in Projekten notwendigen Rollen nicht mit geeigneten Personen besetzt werden. Wenn Betriebsmittel wie Hard- oder Software nicht mehr ausreichen, um den Anforderungen gerecht zu werden, können Fachaufgaben unter Umständen nicht erfolgreich bearbeitet werden.
Häufig können personelle, zeitliche, finanzielle, technische und sonstige Mängel im Regelbetrieb für einen begrenzten Zeitraum noch ausgeglichen werden. Unter hohem Zeitdruck werden sie jedoch, beispielsweise in Notfall-Situationen, umso deutlicher.
Ressourcen können auch absichtlich überlastet werden, wenn jemand einen intensiven Bedarf an einem Betriebsmittel vorsätzlich generiert und dadurch eine intensive und dauerhafte Störung des Betriebsmittels provoziert, siehe auch G 0.40 Verhinderung von Diensten (Denial of Service).
Beispiele:
Bandbreitenbedarf auf dem Netz betrieben, kann dies zu einem Verlust der Verfügbarkeit des gesamten Netzes führen, wenn die Netzinfrastruktur nicht ausreichend skaliert werden kann.
Für jede Software gilt: je komplexer sie ist, desto häufiger treten Fehler auf. Auch bei intensiven Tests werden meist nicht alle Fehler vor der Auslieferung an die Kunden entdeckt. Werden Software-Fehler nicht rechtzeitig erkannt, können die bei der Anwendung entstehenden Abstürze oder Fehler zu weitreichenden Folgen führen. Beispiele hierfür sind falsche Berechnungsergebnisse, Fehlentscheidungen der Leitungsebene und Verzögerungen beim Ablauf der Geschäftsprozesse.
Durch Software-Schwachstellen oder -Fehler kann es zu schwerwiegenden Sicherheitslücken in einer Anwendung, einem IT-System oder allen damit vernetzten IT-Systemen kommen. Solche Sicherheitslücken können unter Umständen von Angreifern ausgenutzt werden, um Schadsoftware einzuschleusen, unerlaubt Daten auszulesen oder Manipulationen vorzunehmen.
Beispiele:
Wenn Informationen, Geschäftsprozesse und IT-Systeme einer Institution unzureichend abgesichert sind
(beispielsweise durch ein unzureichendes Sicherheitsmanagement), kann dies zu Verstößen gegen
Rechtsvorschriften mit Bezug zur Informationsverarbeitung oder gegen bestehende Verträge mit
Geschäftspartnern führen. Welche Gesetze jeweils zu beachten sind, hängt von der Art der Institution bzw.
ihrer Geschäftsprozesse und Dienstleistungen ab. Je nachdem, wo sich die Standorte einer Institution befinden, können auch verschiedene nationale Vorschriften zu beachten sein. Folgende Beispiele verdeutlichen dies:
Sicherheitsmaßnahmen. In Deutschland gelten verschiedene Rechtsvorschriften wie KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich), GmbHG (Gesetz betreffend die Gesellschaften mit beschränkter Haftung) oder AktG (Aktiengesetz), aus denen sich zu Risikomanagement und Informationssicherheit entsprechende Handlungs- und Haftungsverpflichtungen der Geschäftsführung bzw. des Vorstands eines Unternehmens ableiten lassen.
Vertragspartner gegen vertraglich geregelte Sicherheitsanforderungen, kann dies Vertragsstrafen, aber auch Vertragsauflösungen bis hin zum Verlust von Geschäftsbeziehungen nach sich ziehen.
Nur wenige Sicherheitsanforderungen ergeben sich unmittelbar aus Gesetzen. Die Gesetzgebung orientiert sich jedoch im Allgemeinen am Stand der Technik als allgemeine Bewertungsgrundlage für den Grad der erreichbaren Sicherheit. Stehen bei einer Institution die vorhandenen Sicherheitsmaßnahmen in keinem gesunden Verhältnis zu den zu schützenden Werten und dem Stand der Technik, kann dies gravierende Folgen haben.
Link von extern: https://dsz365.de/elementare-gefaehrdungen/#gesetztesverstoss
Ohne geeignete Mechanismen zur Zutritts-, Zugriffs- und Zugangskontrolle kann eine unberechtigte Nutzung von Geräten und Systemen praktisch nicht verhindert oder erkannt werden. Bei IT-Systemen ist der grundlegende Mechanismus die Identifikation und Authentisierung von Benutzern. Aber selbst bei ITSystemen mit einer starken Identifikations- und Authentisierungsfunktion ist eine unberechtigte Nutzung denkbar, wenn die entsprechenden Sicherheitsmerkmale (Passwörter, Chipkarten, Token etc.) in falsche Hände gelangen. Auch bei der Vergabe und Pflege von Berechtigungen können viele Fehler gemacht werden, beispielsweise wenn Berechtigungen zu weitreichend oder an unautorisierte Personen vergeben oder nicht zeitnah aktualisiert werden.
Unbefugte können durch die unberechtigte Nutzung von Geräten und Systemen an vertrauliche Informationen gelangen, Manipulationen vornehmen oder Störungen verursachen.
Ein besonders wichtiger Spezialfall der unberechtigten Nutzung ist die unberechtigte Administration. Wenn Unbefugte die Konfiguration oder die Betriebsparameter von Hardware- oder Software-Komponenten ändern, können daraus schwere Schäden resultieren.
Beispiel:
Eine fehlerhafte oder nicht ordnungsgemäße Nutzung von Geräten, Systemen und Anwendungen kann deren Sicherheit beeinträchtigen, vor allem, wenn vorhandene Sicherheitsmaßnahmen missachtet oder umgangen werden. Dies führt häufig zu Störungen oder Ausfällen. Je nachdem, welche Arten von Geräten oder Systemen falsch genutzt werden, können aber auch Vertraulichkeit und Integrität von Informationen verletzt werden.
Ein besonders wichtiger Spezialfall der fehlerhaften Nutzung ist die fehlerhafte Administration. Fehler bei der Installation, Konfiguration, Wartung und Pflege von Hardware- oder Software-Komponenten können schwere Schäden nach sich ziehen.
Beispielsweise können zu großzügig vergebene Rechte, leicht zu erratende Passwörter, nicht ausreichend geschützte Datenträger mit Sicherungskopien oder bei vorübergehender Abwesenheit nicht gesperrte Terminals zu Sicherheitsvorfällen führen.
Gleichermaßen können durch die fehlerhafte Bedienung von IT-Systemen oder Anwendungen auch Daten versehentlich gelöscht oder verändert werden. Dadurch könnten aber auch vertrauliche Informationen an die Öffentlichkeit gelangen, beispielsweise wenn Zugriffsrechte falsch gesetzt werden.
Wenn Strom- oder Netzkabel ungeschützt verlegt werden, können sie unbeabsichtigt beschädigt werden, wodurch Verbindungen ausfallen können. Geräteanschlussleitungen können herausgerissen werden, wenn Mitarbeiter oder
Link von extern: https://dsz365.de/elementare-gefaehrdungen/#nutzung-fehlerhaft
Abhängig von ihren Rollen und Aufgaben erhalten Personen entsprechende Zutritts-, Zugangs- und Zugriffsberechtigungen. Auf diese Weise soll einerseits der Zugang zu Informationen gesteuert und kontrolliert werden, und andererseits soll es den Personen ermöglicht werden, bestimmte Aufgaben zu erledigen. Beispielsweise benötigen Personen oder Gruppen bestimmte Berechtigungen, um Anwendungen ausführen zu können oder Informationen bearbeiten zu können.
Eine missbräuchliche Nutzung von Berechtigungen liegt vor, wenn vorsätzlich recht- oder unrechtmäßig erworbene Möglichkeiten außerhalb des vorgesehenen Rahmens genutzt werden. Ziel dabei ist häufig, sich persönliche Vorteile zu verschaffen oder einer Institution oder bestimmten Personen zu schaden.
In nicht wenigen Fällen verfügen Personen aus historischen, systemtechnischen oder anderen Gründen über höhere oder umfangreichere Zutritts-, Zugangs- oder Zugriffsrechte, als sie für ihre Tätigkeit benötigen.
Diese Rechte können unter Umständen für Angriffe missbraucht werden.
Beispiele:
Pflegeaufwand, um diese Berechtigungen auf dem aktuellen Stand zu halten. Es besteht deshalb die Gefahr, dass bei der Vergabe der Zugriffsrechte zu wenig zwischen den unterschiedlichen Rollen differenziert wird und dadurch der Missbrauch der Berechtigungen erleichtert wird.
Der Ausfall von Personal kann erhebliche Auswirkungen auf eine Institution und deren Geschäftsprozesse haben. Personal kann beispielsweise durch Krankheit, Unfall, Tod oder Streik unvorhergesehen ausfallen. Des weiteren ist auch der vorhersagbare Personalausfall bei Urlaub, Fortbildung oder einer regulären Beendigung des Arbeitsverhältnisses zu berücksichtigen, insbesondere wenn die Restarbeitszeit z. B. durch einen Urlaubsanspruch verkürzt wird. Ein Personalausfall kann auch durch einen internen Wechsel des Arbeitsplatzes verursacht werden.
Beispiele:
Datenrestaurierung durchgeführt werden, da der Administrator nicht eher im Urlaub erreichbar war.
Auch aus Angst vor Ansteckung in öffentlichen Verkehrsmitteln oder in der Institution bleiben einige Mitarbeiter vom Dienst fern. Als Folge können nur noch die notwendigsten Arbeiten erledigt werden. Die erforderliche Wartung der Systeme, sei es der zentrale Server oder die Klimaanlage im Rechenzentrum, ist nicht mehr zu leisten. Nach und nach fallen dadurch immer mehr Systeme aus.
Link von Extern: https://dsz365.de/elementare-gefaehrdungen/#missbrauch-berechtigung
Durch einen Anschlag kann eine Institution, bestimmte Bereiche der Institution oder einzelne Personen bedroht werden. Die technischen Möglichkeiten, einen Anschlag zu verüben, sind vielfältig: geworfene Ziegelsteine, Explosion durch Sprengstoff, Schusswaffengebrauch, Brandstiftung. Ob und in welchem Umfang eine Institution der Gefahr eines Anschlages ausgesetzt ist, hängt neben der Lage und dem Umfeld des Gebäudes stark von ihren Aufgaben und vom politisch-sozialen Klima ab. Unternehmen und Behörden, die in politisch kontrovers diskutierten Bereichen agieren, sind stärker bedroht als andere. Institutionen in der Nähe üblicher Demonstrationsaufmarschgebiete sind stärker gefährdet als solche in abgelegenen Orten.
Für die Einschätzung der Gefährdung oder bei Verdacht auf Bedrohungen durch politisch motivierte Anschläge können in Deutschland die Landeskriminalämter oder das Bundeskriminalamt beratend hinzugezogen werden.
Beispiele:
Bundesbehörde in Köln verübt. Durch die große Durchschlagskraft des Sprengkörpers wurden nicht nur Fenster und Wände, sondern auch viele IT-Systeme im Rechenzentrum zerstört.
Nötigung, Erpressung oder Korruption können dazu führen, dass die Sicherheit von Informationen oder
Geschäftsprozessen beeinträchtigt wird. Durch Androhung von Gewalt oder anderen Nachteilen kann ein Angreifer beispielsweise versuchen, das Opfer zur Missachtung von Sicherheitsrichtlinien oder zur Umgehung von Sicherheitsmaßnahmen zu bringen (Nötigung).
Anstatt zu drohen, können Angreifer auch gezielt Geld oder andere Vorteile anbieten, um Mitarbeiter oder andere Personen zum Instrument für Sicherheitsverletzungen zu machen (Korruption). Beispielsweise besteht die Gefahr, dass ein bestechlicher Mitarbeiter vertrauliche Dokumente an Unbefugte weiterleitet.
Durch Nötigung oder Korruption können grundsätzlich alle Grundwerte der Informationssicherheit beeinträchtigt werden. Angriffe können unter anderem darauf abzielen, vertrauliche Informationen an Unbefugte zu leiten, geschäftskritische Informationen zu manipulieren oder den reibungslosen Ablauf von Geschäftsprozessen zu stören.
Besondere Gefahr besteht, wenn sich solche Angriffe gegen hochrangige Führungskräfte oder Personen in besonderen Vertrauensstellungen richten.
Link von Extern: https://dsz365.de/elementare-gefaehrdungen/#noetigung-erpressung-korruption
Beim Identitätsdiebstahl täuscht ein Angreifer eine falsche Identität vor, er benutzt also Informationen über eine andere Person, um in deren Namen aufzutreten. Hierfür werden Daten wie beispielsweise
Geburtsdatum, Anschrift, Kreditkarten- oder Kontonummern benutzt, um sich beispielsweise auf fremde Kosten bei einem Internet-Dienstleister anzumelden oder sich auf andere Weise zu bereichern.
Identitätsdiebstahl führt häufig auch direkt oder indirekt zur Rufschädigung, aber verursacht auch einen hohen Zeitaufwand, um die Ursachen aufzuklären und negative Folgen für die Betroffenen abzuwenden. Einige Formen des Identitätsbetrugs werden auch als Maskerade bezeichnet.
Identitätsdiebstahl tritt besonders dort häufig auf, wo die Identitätsprüfung zu nachlässig gehandhabt wird, vor allem, wenn hierauf teure Dienstleistungen basieren.
Eine Person, die über die Identität seines Kommunikationspartners getäuscht wurde, kann leicht dazu gebracht werden, schutzbedürftige Informationen zu offenbaren.
Beispiele:
Kommunikationspartner stammt. Ähnliche Angriffe sind durch die Manipulation der
Rufnummernanzeige bei Sprachverbindungen oder durch die Manipulation der Absenderkennung bei Faxverbindungen möglich.
Personen können aus verschiedenen Gründen abstreiten, bestimmte Handlungen begangen zu haben, beispielsweise weil diese Handlungen gegen Anweisungen, Sicherheitsvorgaben oder sogar Gesetze verstoßen. Sie könnten aber auch leugnen, eine Benachrichtigung erhalten zu haben, zum Beispiel weil sie einen Termin vergessen haben. Im Bereich der Informationssicherheit wird daher häufig die Verbindlichkeit hervorgehoben, eine Eigenschaft, über die sichergestellt werden soll, dass erfolgte Handlungen nicht unberechtigt abgestritten werden können. Im englischen Sprachraum wird dafür der Begriff NonRepudiation (Nichtabstreitbarkeit) verwendet.
Bei Kommunikation wird zusätzlich unterschieden, ob ein Kommunikationsteilnehmer den
Nachrichtenempfang ableugnet (Repudiation of Receipt) oder den Versand (Repudiation of Origin). Den Nachrichtenempfang abzuleugnen kann unter anderem bei finanziellen Transaktionen von Bedeutung sein,
Beispiel:
Personenbezogene Daten sind fast immer besonders schützenswerte Informationen. Typische Beispiele sind
Angaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Wenn der Schutz personenbezogener Daten nicht ausreichend gewährleistet ist, besteht die Gefahr, dass der Betroffene in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigt wird.
Ein Missbrauch personenbezogener Daten kann beispielsweise vorliegen, wenn eine Institution zu viele personenbezogene Daten sammelt, sie ohne Rechtsgrundlage oder Einwilligung erhoben hat, sie zu einem anderen als dem bei der Erhebung zulässigen Zweck nutzt, personenbezogene Daten zu spät löscht oder unberechtigt weitergibt.
Beispiele:
Ein Schadprogramm ist eine Software, die mit dem Ziel entwickelt wurde, unerwünschte und meistens schädliche Funktionen auszuführen. Zu den typischen Arten von Schadprogrammen gehören unter anderem Viren, Würmer und Trojanische Pferde. Schadprogramme werden meist heimlich, ohne Wissen und Einwilligung des Benutzers aktiv.
Schadprogramme bieten heutzutage einem Angreifer umfangreiche Kommunikations- und
Steuerungsmöglichkeiten und besitzen eine Vielzahl von Funktionen. Unter anderem können
Schadprogramme gezielt Passwörter ausforschen, Systeme fernsteuern, Schutzsoftware deaktivieren und Daten ausspionieren.
Als Schaden ist hier insbesondere der Verlust oder die Verfälschung von Informationen oder Anwendungen von größter Tragweite. Aber auch der Imageverlust und der finanzielle Schaden, der durch Schadprogramme entstehen kann, sind von großer Bedeutung.
Beispiele:
Es gibt eine Vielzahl verschiedener Angriffsformen, die darauf abzielen, die vorgesehene Nutzung
bestimmter Dienstleistungen, Funktionen oder Geräte zu verhindern. Der Oberbegriff für solche Angriffe ist “Verhinderung von Diensten” (englisch: “Denial of Service”). Häufig wird auch die Bezeichnung “DoSAngriff” verwendet.
Solche Angriffe können unter anderem von verärgerten Mitarbeitern oder Kunden, aber auch von Mitbewerbern, Erpressern oder politisch motivierten Tätern ausgehen. Das Ziel der Angriffe können geschäftsrelevante Werte aller Art sein. Typische Ausprägungen von DoS-Angriffen sind
Diese Art von Angriffen steht häufig im Zusammenhang mit verteilten Ressourcen, indem ein Angreifer diese Ressourcen so stark in Anspruch nimmt, dass sie den eigentlichen Nutzern nicht mehr zur Verfügung stehen. Bei IT-basierten Angriffen können z. B. die folgenden Ressourcen künstlich verknappt werden:
Prozesse, CPU-Zeit, Arbeitsspeicher, Plattenplatz, Übertragungskapazität.
Beispiel:
Sabotage bezeichnet die mutwillige Manipulation oder Beschädigung von Sachen oder Prozessen mit dem
Ziel, dem Opfer dadurch Schaden zuzufügen. Besonders attraktive Ziele können Rechenzentren oder Kommunikationsanbindungen von Behörden bzw. Unternehmen sein, da hier mit relativ geringen Mitteln eine große Wirkung erzielt werden kann.
Die komplexe Infrastruktur eines Rechenzentrums kann durch gezielte Beeinflussung wichtiger Komponenten, gegebenenfalls durch Täter von außen, vor allem aber durch Innentäter, punktuell manipuliert werden, um Betriebsstörungen hervorzurufen. Besonders bedroht sind hierbei nicht ausreichend geschützte gebäudetechnische oder kommunikationstechnische Infrastruktur sowie zentrale Versorgungspunkte, die organisatorisch oder technisch gegebenenfalls auch nicht überwacht werden und für Externe leicht und unbeobachtet zugänglich sind.
Beispiele:
Social Engineering ist eine Methode, um unberechtigten Zugang zu Informationen oder IT-Systemen durch soziale Handlungen zu erlangen. Beim Social Engineering werden menschliche Eigenschaften wie z. B. Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt. Dadurch können Mitarbeiter so manipuliert werden, dass sie unzulässig handeln. Ein typischer Fall von Angriffen mit Hilfe von Social Engineering ist das Manipulieren von Mitarbeitern per Telefonanruf, bei dem sich der Angreifer z. B. ausgibt als:
Wenn kritische Rückfragen kommen, ist der Neugierige angeblich “nur eine Aushilfe” oder eine “wichtige” Persönlichkeit.
Eine weitere Strategie beim systematischen Social Engineering ist der Aufbau einer längeren Beziehung zum Opfer. Durch viele unwichtige Telefonate im Vorfeld kann der Angreifer Wissen sammeln und Vertrauen aufbauen, das er später ausnutzen kann.
Solche Angriffe können auch mehrstufig sein, indem in weiteren Schritten auf Wissen und Techniken aufgebaut wird, die in vorhergehenden Stufen erworben wurden.
Viele Anwender wissen, dass sie Passwörter an niemanden weitergeben dürfen. Social Engineers wissen dies und müssen daher über andere Wege an das gewünschte Ziel gelangen. Beispiele hierfür sind:
Wenn ein Angreifer einen nützlichen Netzdienst (wie ein E-Mail-Adressensystem) betreibt, an dem die Anwender sich authentisieren müssen, kann er an die gewünschten Passwörter und Logins gelangen. Viele Benutzer werden die Anmeldedaten, die sie für diesen Dienst benutzen, auch bei anderen Diensten verwenden.
Wenn sich Angreifer unerlaubt Passwörter oder andere Authentisierungsmerkmale verschaffen, beispielsweise mit Hilfe von Social Engineering, wird dies häufig auch als “Phishing” (Kunstwort aus “Password” und “Fishing”) bezeichnet.
Beim Social Engineering tritt der Angreifer nicht immer sichtbar auf. Oft erfährt das Opfer niemals, dass es ausgenutzt wurde. Ist dies erfolgreich, muss der Angreifer nicht mit einer Strafverfolgung rechnen und besitzt außerdem eine Quelle, um später an weitere Informationen zu gelangen.
ORP.2.A1 Geregelte Einarbeitung neuer Mitarbeiter
ORP.2.A2 Geregelte Verfahrensweise beim Weggang von Mitarbeitern
ORP.2.A7 Überprüfung der Vertrauenswürdigkeit von Mitarbeitern
ORP.2.A15 Qualifikation des Personals
ORP.3.A1 Sensibilisierung der Institutionsleitung für Informationssicherheit
ORP.3.A3 Einweisung des Personals in den sicheren Umgang mit IT
ORP.3.A7 Schulung zur Vorgehensweise nach IT-Grundschutz
ORP.3.A9 Spezielle Schulung von exponierten Personen und Institutionen
CON.7.A2 Sensibilisierung der Mitarbeiter zur Informationssicherheit auf Auslandsreisen
OPS.1.1.2.A3 Geregelte Einstellung von IT-Administratoren
OPS.1.1.2.A12 Regelungen für Wartungs- und Reparaturarbeiten
OPS.1.1.2.A15 Aufteilung von Administrationstätigkeiten
OPS.1.1.2.A17 IT-Administration im Vier-Augen-Prinzip
OPS.1.1.4.A1 Erstellung eines Konzepts für den Schutz vor Schadprogrammen
OPS.1.1.4.A5 Betrieb und Konfiguration von Virenschutzprogrammen
OPS.1.1.4.A6 Regelmäßige Aktualisierung der eingesetzten Virenschutzprogramme und Signaturen
OPS.1.1.4.A11 Einsatz mehrerer Scan-Engines
OPS.2.1.A7 Festlegung der möglichen Kommunikationspartner
APP.1.4.A5 Minimierung und Kontrolle von App-Berechtigungen
APP.2.2.A10 Sicherer Einsatz von DNS für Active Directory
APP.2.2.A11 Überwachung der Active-Directory-Infrastruktur
APP.5.3.A7 Schulung zu Sicherheitsmechanismen von E-Mail-Clients für Benutzer
APP.5.3.A9 Erweiterte Sicherheitsmaßnahmen auf dem E-Mail-Server
SYS.1.2.2.A2 Sichere Installation von Windows Server 2012
SYS.1.2.2.A3 Sichere Administration von Windows Server 2012
SYS.1.2.2.A4 Sichere Konfiguration von Windows Server 2012
SYS.1.2.2.A5 Schutz vor Schadsoftware auf Windows Server 2012
SYS.1.2.2.A6 Sichere Authentisierung und Autorisierung in Windows Server 2012
SYS.1.2.2.A11 Angriffserkennung bei Windows Server 2012
SYS.3.2.3.A12 Verwendung von Apple-IDs
SYS.3.2.3.A13 Verwendung der Konfigurationsoption “Einschränkungen unter iOS”
SYS.3.2.3.A26 Keine Verbindung mit Host-Systemen
IND.2.7.A1 Erfassung und Dokumentation
IND.2.7.A2 Zweckgebundene Nutzung der Hard- und Softwarekomponenten
IND.2.7.A3 Änderung des Anwendungsprogramms auf dem Logiksystem
IND.2.7.A4 Verankerung von Informationssicherheit im Functional Safety Management
IND.2.7.A7 Trennung und Unabhängigkeit des SIS von der Umgebung
IND.2.7.A10 Anzeige und Alarmierung von simulierten oder gebrückten Variablen
IND.2.7.A11 Umgang mit integrierten Systemen
NET.4.1.A8 Einschränkung und Sperrung nicht benötigter oder sicherheitskritischer Leistungsmerkmale
NET.4.1.A9 Schulung zur sicheren Nutzung von TK-Anlagen
Link von Extern: https://dsz365.de/elementare-gefaehrdungen/#social-engineering
Angreifer senden bei dieser Angriffsform speziell vorbereitete Nachrichten an Systeme oder Personen mit dem Ziel, für sich selbst einen Vorteil oder einen Schaden für das Opfer zu erreichen. Um die Nachrichten geeignet zu konstruieren, nutzen die Angreifer beispielsweise Schnittstellenbeschreibungen, Protokollspezifikationen oder Aufzeichnungen über das Kommunikationsverhalten in der Vergangenheit.
Es gibt zwei in der Praxis wichtige Spezialfälle des Einspielens von Nachrichten:
Eine Verschlüsselung der Kommunikation bietet keinen Schutz vor Man-in-the-Middle-Attacken, wenn keine sichere Authentisierung der Kommunikationspartner stattfindet.
Beispiele:
OPS.1.1.7.A4 Absicherung der Systemmanagement-Kommunikation
OPS.1.1.7.A5 Gegenseitige Authentisierung von Systemmanagement-Lösung und zu verwaltenden Systemen
OPS.1.1.7.A6 Absicherung des Zugriffs auf die Systemmanagement-Lösung
OPS.1.1.7.A13 Verpflichtung zur Nutzung der vorgesehenen Schnittstellen für das Systemmanagement
OPS.1.1.7.A17 Kontrolle der Systemmanagement-Kommunikation
OPS.1.1.7.A19 Absicherung der Systemmanagement-Kommunikation zwischen der Systemmanagement-Lösung und den zu verwaltenden Systemen
OPS.1.1.7.A21 Physische Trennung der zentralen Systemmanagementnetze
OPS.1.1.7.A26 Entkopplung von Zugriffen auf die Systemmanagement-Lösung
DER.2.3.A2 Entscheidung für eine Bereinigungsstrategie
DER.2.3.A4 Sperrung und Änderung von Zugangsdaten und kryptografischen Schlüsseln
DER.2.3.A7 Gezielte Systemhärtung
DER.2.3.A8 Etablierung sicherer
DER.2.3.A9 Hardwaretausch betroffener IT-Systeme
DER.2.3.A10 Umbauten zur Erschwerung eines erneuten Angriffs durch denselben Angreifer
APP.2.1.A3 Einrichtung von Zugriffsberechtigungen auf Verzeichnisdienste
APP.2.2.A2 Planung der Active-Directory-Administration
APP.2.2.A3 Planung der Gruppenrichtlinien unter Windows
APP.2.2.A5 Härtung des Active Directory
APP.2.2.A6 Aufrechterhaltung der Betriebssicherheit von Active Directory
APP.2.2.A7 Umsetzung sicherer Verwaltungsmethoden für Active Directory
APP.2.2.A8 Konfiguration des “Sicheren Kanals” unter Windows
APP.2.2.A9 Schutz der Authentisierung beim Einsatz von Active Directory
APP.2.2.A10 Sicherer Einsatz von DNS für Active Directory
APP.2.3.A1 Planung und Auswahl von Backends und Overlays für OpenLDAP
APP.2.3.A4 Konfiguration der durch OpenLDAP verwendeten Datenbank
APP.2.3.A11 Einschränkung der OpenLDAP-Laufzeitumgebung
APP.3.1.A4 Kontrolliertes Einbinden von Dateien und Inhalten
APP.3.1.A11 Sichere Anbindung von Hintergrundsystemen
APP.3.6.A4 Sichere Grundkonfiguration eines DNS-Servers
APP.3.6.A16 Integration eines DNS-Servers in eine “P-A-P”-Struktur
APP.3.6.A17 Einsatz von DNSSEC
APP.4.2.A1 Sichere Konfiguration des SAP-ABAP-Stacks
APP.4.2.A2 Sichere Konfiguration des SAP-JAVA-Stacks
APP.4.2.A3 Netzsicherheit
APP.4.2.A4 Absicherung der ausgelieferten SAP-Standardbenutzer-Kennungen
APP.4.2.A5 Konfiguration und Absicherung der SAP-Benutzerverwaltung
APP.4.2.A6 Erstellung und Umsetzung eines Benutzer- und Berechtigungskonzeptes
APP.4.2.A7 Absicherung der SAP-Datenbanken
APP.4.2.A8 Absicherung der SAP-RFC-Schnittstelle
APP.4.2.A26 Schutz des kundeneigenen Codes im SAP-ERP-System
APP.4.2.A30 Implementierung eines kontinuierlichen Monitorings der Sicherheitseinstellungen
APP.4.2.A32 Echtzeiterfassung und Alarmierung von irregulären Vorgängen
SYS.1.1.A19 Einrichtung lokaler Paketfilter
SYS.1.2.2.A2 Sichere Installation von Windows Server 2012
SYS.1.2.2.A3 Sichere Administration von Windows Server 2012
SYS.1.2.2.A4 Sichere Konfiguration von Windows Server 2012
SYS.1.2.2.A5 Schutz vor Schadsoftware auf Windows Server 2012
SYS.1.2.2.A6 Sichere Authentisierung und Autorisierung in Windows Server 2012
SYS.1.2.2.A11 Angriffserkennung bei Windows Server 2012
SYS.1.3.A8 Verschlüsselter Zugriff über Secure Shell
SYS.1.5.A26 Einsatz einer PKI
SYS.1.7.A3 Wartung von Z-Systemen
SYS.1.7.A5 Einsatz und Sicherung systemnaher z/OS-Terminals
SYS.1.7.A6 Einsatz und Sicherung der Remote Support Facility
SYS.1.7.A9 Mandantenfähigkeit unter z/OS
SYS.1.7.A11 Schutz der Session-Daten
SYS.1.7.A14 Berichtswesen zum sicheren Betrieb von z/OS
SYS.1.7.A16 Überwachung von z/OS-Systemen
SYS.1.7.A30 Absicherung der z/OS-Trace-Funktionen
SYS.1.7.A33 Trennung von Test- und Produktionssystemen unter z/OS
SYS.1.7.A36 Interne Kommunikation von Betriebssystemen
SYS.1.7.A38 Einsatz des VTAM Session Management Exit unter z/OS
IND.2.1.A1 Einschränkung des Zugriffs für Konfigurations- und Wartungsschnittstellen
IND.3.2.A9 Sicherer Austausch von Dateien begleitend zur OT-Fernwartung
NET.1.1.A7 Absicherung von schützenswerten Informationen
NET.1.1.A11 Absicherung eingehender Kommunikation vom Internet in das interne Netz
NET.1.1.A34 Einsatz kryptografischer Verfahren auf Netzebene
NET.1.2.A9 Absicherung der Netzmanagement-Kommunikation
NET.2.1.A1 Festlegung einer Strategie für den Einsatz von WLANs
NET.2.1.A2 Auswahl eines geeigneten WLAN-Standards
NET.2.1.A3 Auswahl geeigneter Kryptoverfahren für WLAN
NET.2.1.A5 Sichere Basis-Konfiguration der Access Points
NET.2.1.A6 Sichere Konfiguration der WLAN-Infrastruktur
NET.2.1.A12 Einsatz einer geeigneten WLAN-Management-Lösung
NET.2.1.A13 Regelmäßige Sicherheitschecks in WLANs
NET.2.1.A14 Regelmäßige Audits der WLAN-Komponenten
NET.2.1.A15 Verwendung eines VPN zur Absicherung von WLANs
NET.2.1.A18 Einsatz von Wireless Intrusion Detection/Wireless Intrusion Prevention Systemen
NET.2.2.A1 Erstellung einer Benutzerrichtlinie für WLAN
NET.2.2.A2 Sensibilisierung und Schulung der WLAN-Benutzer
NET.2.2.A3 Absicherung der WLAN-Nutzung in unsicheren Umgebungen
NET.3.1.A5 Schutz vor Fragmentierungsangriffen
NET.3.1.A15 Bogon- und Spoofing-Filterung
NET.3.1.A16 Schutz vor “IPv6 Routing Header Type-0”-Angriffen
NET.3.1.A17 Schutz vor DoS- und DDoS-Angriffen
NET.3.1.A18 Einrichtung von Access Control Lists
NET.3.1.A19 Sicherung von Switch-Ports
NET.3.1.A28 Einsatz von zertifizierten Produkten
NET.3.3.A7 Planung der technischen VPN-Realisierung
NET.3.3.A10 Sicherer Betrieb eines VPN
NET.3.3.A13 Integration von VPN-Komponenten in eine Firewall
INF.13.A11 Angemessene Härtung von Systemen im TGM
INF.13.A12 Sichere Konfiguration der TGM-Systeme
INF.13.A13 Sichere Anbindung von eingeschränkt vertrauenswürdigen Systemen im TGM
INF.13.A26 Absicherung von BIM
INF.14.A1 Planung der Gebäudeautomation
INF.14.A4 Berücksichtigung von Gefahrenmeldeanlagen in der GA
INF.14.A6 Separierung von Netzen der GA
INF.14.A11 Absicherung von frei zugänglichen Ports und Zugängen der GA
INF.14.A12 Nutzung sicherer Übertragungsprotokolle für die GA
INF.14.A13 Netzsegmentierung in der GA [Planer]
INF.14.A15 Absicherung von GA-spezifischen Netzen
INF.14.A16 Absicherung von drahtloser Kommunikation in GA-Netzen
INF.14.A17 Absicherung von Mobilfunkkommunikation in GA-Netzen
INF.14.A18 Sichere Anbindung von GA-eXternen Systemen
INF.14.A28 Physische Trennung der GA
INF.14.A29 Trennung einzelner TGA-Anlagen
Wenn Unbefugte in ein Gebäude oder einzelne Räumlichkeiten eindringen, kann dies verschiedene andere Gefahren nach sich ziehen. Dazu gehören beispielsweise Diebstahl oder Manipulation von Informationen oder IT-Systemen. Bei qualifizierten Angriffen ist die Zeitdauer entscheidend, in der die Täter ungestört ihr Ziel verfolgen können.
Häufig wollen die Täter wertvolle IT-Komponenten oder andere Waren, die leicht veräußert werden können, stehlen. Ziel eines Einbruchs kann es jedoch unter anderem auch sein, an vertrauliche Informationen zu gelangen, Manipulationen vorzunehmen oder Geschäftsprozesse zu stören.
Durch das unbefugte Eindringen in Räumlichkeiten können somit mehrere Arten von Schäden entstehen:
Beispiele:
ORP.2.A2 Geregelte Verfahrensweise beim Weggang von Mitarbeitern
ORP.2.A4 Festlegung von Regelungen für den Einsatz von Fremdpersonal
ORP.2.A5 Vertraulichkeitsvereinbarungen für den Einsatz von Fremdpersonal
ORP.4.A5 Vergabe von Zutrittsberechtigungen
SYS.1.8.A1 Geeignete Aufstellung von Speichersystemen
NET.2.1.A4 Geeignete Aufstellung von Access Points
INF.1.A1 Planung der Gebäudeabsicherung
INF.1.A6 Geschlossene Fenster und Türen
INF.1.A7 Zutrittsregelung und -kontrolle
INF.1.A9 Sicherheitskonzept für die Gebäudenutzung
INF.1.A12 Schlüsselverwaltung
INF.1.A13 Regelungen für Zutritt zu Verteilern
INF.1.A22 Sichere Türen und Fenster
INF.1.A23 Bildung von Sicherheitszonen
INF.1.A26 Pförtner- oder Sicherheitsdienst
INF.1.A27 Einbruchschutz
INF.1.A30 Auswahl eines geeigneten Gebäudes
INF.1.A31 Auszug aus Gebäuden
INF.1.A35 Perimeterschutz
INF.2.A6 Zutrittskontrolle
INF.2.A7 Verschließen und Sichern
INF.2.A12 Perimeterschutz für das Rechenzentrum
INF.2.A13 Planung und Installation von Gefahrenmeldeanlagen
INF.2.A28 Einsatz von höherwertigen Gefahrenmeldeanlagen
INF.5.A7 Verhinderung von Zweckentfremdung
INF.5.A20 Schutz vor Einbruch und Sabotage
INF.6.A1 Handfeuerlöscher
INF.6.A2 Zutrittsregelung und -kontrolle
INF.6.A3 Schutz vor Staub und anderer Verschmutzung
INF.6.A8 Sichere Türen und Fenster
INF.6.A9 Gefahrenmeldeanlage
INF.7.A1 Geeignete Auswahl und Nutzung eines Büroraumes
INF.7.A2 Geschlossene Fenster und abgeschlossene Türen
INF.8.A3 Schutz vor unbefugtem Zutritt am häuslichen Arbeitsplatz
INF.8.A4 Geeignete Einrichtung des häuslichen Arbeitsplatzes
INF.8.A6 Umgang mit dienstlichen Unterlagen bei erhöhtem Schutzbedarf am häuslichen Arbeitsplatz
INF.10.A1 Sichere Nutzung von Besprechungs-, Veranstaltungs- und Schulungsräumen
INF.10.A3 Geschlossene Fenster und Türen
INF.10.A8 Erstellung eines Nutzungsnachweises für Räume
INF.13.A17 Regelung von Wartungs- und Reparaturarbeiten im TGM
Ein Datenverlust ist ein Ereignis, das dazu führt, dass ein Datenbestand nicht mehr wie erforderlich genutzt werden kann (Verlust der Verfügbarkeit). Eine häufige Form des Datenverlustes ist, dass Daten unbeabsichtigt oder unerlaubt gelöscht werden, zum Beispiel durch Fehlbedienung, Fehlfunktionen, Stromausfälle, Verschmutzung oder Schadsoftware.
Ein Datenverlust kann jedoch auch durch Beschädigung, Verlust oder Diebstahl von Geräten oder Datenträgern entstehen. Dieses Risiko ist bei mobilen Endgeräten und mobilen Datenträgern häufig besonders hoch.
Weiterhin ist zu beachten, dass viele mobile IT-Systeme nicht immer online sind. Die auf diesen Systemen gespeicherten Daten befinden sich daher nicht immer auf dem aktuellsten Stand. Wenn Datenbestände zwischen mobilen IT-Systemen und stationären IT-Systemen synchronisiert werden, kann es durch Unachtsamkeit oder Fehlfunktion zu Datenverlusten kommen.
Beispiele:
Passwort vergessen wird und nicht hinterlegt ist, kann es passieren, dass auf die gespeicherten
Informationen nicht mehr zugegriffen werden kann, sofern der Dienstleister kein geeignetes Verfahren zum Zurücksetzen des Passwortes anbietet.
Festplatten und andere Massenspeichermedien haben nur eine begrenzte Lebensdauer. Wenn keine geeigneten Redundanzmaßnahmen getroffen sind, kann es durch technische Defekte zu Datenverlusten kommen.
ORP.1.A15 Ansprechpartner zu Sicherheitsfragen
ORP.1.A16 Mitarbeiterrichtlinie zur sicheren IT-Nutzung
ORP.2.A1 Geregelte Einarbeitung neuer Mitarbeiter
ORP.2.A2 Geregelte Verfahrensweise beim Weggang von Mitarbeitern
ORP.2.A4 Festlegung von Regelungen für den Einsatz von Fremdpersonal
ORP.2.A5 Vertraulichkeitsvereinbarungen für den Einsatz von Fremdpersonal
ORP.2.A7 Überprüfung der Vertrauenswürdigkeit von Mitarbeitern
ORP.3.A1 Sensibilisierung der Institutionsleitung für Informationssicherheit
ORP.3.A3 Einweisung des Personals in den sicheren Umgang mit IT
ORP.3.A7 Schulung zur Vorgehensweise nach IT-Grundschutz
ORP.3.A9 Spezielle Schulung von exponierten Personen und Institutionen
CON.1.A2 Datensicherung bei Einsatz kryptografischer Verfahren
CON.1.A4 Geeignetes Schlüsselmanagement
CON.1.A12 Sichere Rollenteilung beim Einsatz von Kryptomodulen
CON.3.A5 Regelmäßige Datensicherung
CON.3.A12 Sichere Aufbewahrung der Speichermedien für die Datensicherungen
CON.3.A14 Schutz von Datensicherungen
CON.7.A3 Identifikation länderspezifischer Regelungen
CON.7.A11 Einsatz von Diebstahl-Sicherungen
CON.7.A16 Integritätsschutz durch Check-Summen oder digitale Signaturen
CON.7.A17 Verwendung vorkonfigurierter Reise-Hardware
CON.9.A1 Festlegung zulässiger Empfänger
CON.9.A3 Unterweisung des Personals zum Informationsaustausch
OPS.1.1.6.A13 Trennung der Testumgebung von der Produktivumgebung
OPS.1.1.7.A14 Zentrale Konfigurationsverwaltung für zu verwaltende Systeme
OPS.1.1.7.A24 Automatisierte Überprüfung von sicherheitsrelevanten Konfigurationen durch geeignete Detektionssysteme
OPS.1.2.2.A7 Regelmäßige Datensicherung der System- und Archivdaten
OPS.1.2.2.A9 Auswahl geeigneter Datenformate für die Archivierung von Dokumenten
OPS.1.2.2.A12 Überwachung der Speicherressourcen von Archivmedien
OPS.1.2.2.A20 Geeigneter Einsatz kryptografischer Verfahren bei der Archivierung
OPS.1.2.4.A1 Regelungen für Telearbeit
OPS.1.2.4.A2 Sicherheitstechnische Anforderungen an den Telearbeitsrechner
OPS.1.2.4.A6 Erstellen eines Sicherheitskonzeptes für Telearbeit
OPS.2.2.A7 Erstellung eines Sicherheitskonzeptes für die Cloud-Nutzung
OPS.2.2.A11 Erstellung eines Notfallkonzeptes für einen Cloud-Dienst
OPS.2.2.A15 Sicherstellung der Portabilität von Cloud-Diensten
OPS.2.2.A16 Durchführung eigener Datensicherungen
OPS.3.1.A3 Erstellung eines Sicherheitskonzepts für das Outsourcing-Vorhaben
OPS.3.1.A8 Vereinbarung über die Anbindung an Netze der Outsourcing-Partner
OPS.3.1.A13 Sichere Migration bei Outsourcing-Vorhaben
OPS.3.1.A14 Notfallvorsorge beim Outsourcing
OPS.3.1.A15 Geordnete Beendigung eines Outsourcing-Verhältnisses
DER.2.1.A6 Wiederherstellung der Betriebsumgebung nach Sicherheitsvorfällen
DER.2.1.A10 Eindämmen der Auswirkung von Sicherheitsvorfällen
DER.2.1.A17 Nachbereitung von Sicherheitsvorfällen
DER.2.1.A18 Weiterentwicklung der Prozesse durch Erkenntnisse aus Sicherheitsvorfällen und Branchenentwicklungen
DER.2.1.A19 Festlegung von Prioritäten für die Behandlung von Sicherheitsvorfällen
DER.2.1.A20 Einrichtung einer internen Meldestelle für Sicherheitsvorfälle
DER.2.1.A21 Einrichtung eines Expertenteams für die Behandlung von Sicherheitsvorfällen
DER.2.1.A22 Überprüfung des Managementsystems zur Behandlung von Sicherheitsvorfällen
DER.2.2.A1 Prüfung rechtlicher und regulatorischer Rahmenbedingungen zur Erfassung und Auswertbarkeit
DER.2.2.A2 Erstellung eines Leitfadens für Erstmaßnahmen bei einem IT-Sicherheitsvorfall
DER.2.2.A3 Vorauswahl von Forensik-Dienstleistern
DER.2.2.A4 Festlegung von Schnittstellen zum Krisen- und Notfallmanagement
DER.2.2.A5 Erstellung eines Leitfadens für Beweissicherungsmaßnahmen bei IT-Sicherheitsvorfällen
DER.2.2.A6 Schulung des Personals für die Umsetzung der forensischen Sicherung
DER.2.2.A7 Auswahl von Werkzeugen zur Forensik
DER.2.2.A8 Auswahl und Reihenfolge der zu sichernden Beweismittel
DER.2.2.A9 Vorauswahl forensisch relevanter Daten
DER.2.2.A10 IT-forensische Sicherung von Beweismitteln
DER.2.2.A11 Dokumentation der Beweissicherung
DER.2.2.A12 Sichere Verwahrung von Originaldatenträgern und Beweismitteln
DER.2.2.A13 Rahmenverträge mit externen Dienstleistern
DER.2.2.A14 Festlegung von Standardverfahren für die Beweissicherung
DER.2.2.A15 Durchführung von Übungen zur Beweissicherung
DER.2.3.A1 Einrichtung eines Leitungsgremiums
DER.2.3.A2 Entscheidung für eine Bereinigungsstrategie
DER.2.3.A3 Isolierung der betroffenen Netzabschnitte
DER.2.3.A4 Sperrung und Änderung von Zugangsdaten und kryptografischen Schlüsseln
DER.2.3.A7 Gezielte Systemhärtung
DER.2.3.A8 Etablierung sicherer
APP.1.1.A6 Testen neuer Versionen von Office-Produkten
APP.1.1.A11 Geregelter Einsatz von Erweiterungen für Office-Produkte
APP.2.1.A2 Planung des Einsatzes von Verzeichnisdiensten
APP.2.1.A3 Einrichtung von Zugriffsberechtigungen auf Verzeichnisdienste
APP.2.1.A6 Sicherer Betrieb von Verzeichnisdiensten
APP.2.1.A11 Einrichtung des Zugriffs auf Verzeichnisdienste
APP.2.1.A13 Absicherung der Kommunikation mit Verzeichnisdiensten
APP.2.1.A14 Geregelte Außerbetriebnahme eines Verzeichnisdienstes
APP.2.1.A15 Migration von Verzeichnisdiensten
APP.2.2.A1 Planung des Active Directory
APP.2.2.A5 Härtung des Active Directory
APP.2.2.A6 Aufrechterhaltung der Betriebssicherheit von Active Directory
APP.2.2.A10 Sicherer Einsatz von DNS für Active Directory
APP.2.2.A12 Datensicherung für Domänen-Controller
APP.2.3.A4 Konfiguration der durch OpenLDAP verwendeten Datenbank
APP.2.3.A8 Einschränkungen von Attributen bei OpenLDAP
APP.3.3.A7 Auswahl eines Dateisystems
APP.3.3.A8 Strukturierte Datenhaltung
APP.3.3.A9 Sicheres Speichermanagement
APP.3.3.A13 Replizieren zwischen Standorten
APP.3.4.A4 Vermeidung der NTFS-Eigenschaften auf einem Samba-Server
APP.3.4.A13 Regelmäßige Sicherung wichtiger Systemkomponenten eines Samba-Servers
APP.3.6.A9 Erstellen eines Notfallplans für DNS-Server
APP.3.6.A20 Prüfung des Notfallplans auf Durchführbarkeit
APP.4.2.A1 Sichere Konfiguration des SAP-ABAP-Stacks
APP.4.2.A2 Sichere Konfiguration des SAP-JAVA-Stacks
APP.4.2.A4 Absicherung der ausgelieferten SAP-Standardbenutzer-Kennungen
APP.4.2.A5 Konfiguration und Absicherung der SAP-Benutzerverwaltung
APP.4.2.A6 Erstellung und Umsetzung eines Benutzer- und Berechtigungskonzeptes
APP.4.2.A7 Absicherung der SAP-Datenbanken
APP.4.2.A8 Absicherung der SAP-RFC-Schnittstelle
APP.4.2.A11 Sichere Installation eines SAP-ERP-Systems
APP.4.2.A26 Schutz des kundeneigenen Codes im SAP-ERP-System
APP.4.2.A29 Einrichten eines Notfallbenutzers
APP.4.2.A30 Implementierung eines kontinuierlichen Monitorings der Sicherheitseinstellungen
APP.4.2.A32 Echtzeiterfassung und Alarmierung von irregulären Vorgängen
APP.4.3.A9 Datensicherung eines Datenbanksystems
APP.4.3.A17 Datenübernahme oder Migration
APP.4.3.A23 Archivierung
APP.4.3.A24 Datenverschlüsselung in der Datenbank
APP.4.4.A2 Planung der Automatisierung mit CI/CD
APP.4.4.A4 Separierung von Pods
APP.4.4.A5 Datensicherung im Cluster
APP.4.4.A7 Separierung der Netze bei Kubernetes
APP.4.4.A8 Absicherung von Konfigurationsdateien bei Kubernetes
APP.4.4.A12 Absicherung der Infrastruktur-Anwendungen
APP.4.4.A13 Automatisierte Auditierung der Konfiguration
APP.4.4.A14 Verwendung dedizierter Nodes
APP.4.4.A15 Trennung von Anwendungen auf Node- und Cluster-Ebene
APP.4.4.A17 Attestierung von Nodes
APP.4.4.A18 Verwendung von Mikro-Segmentierung
APP.4.4.A20 Verschlüsselte Datenhaltung bei Pods
APP.4.4.A21 Regelmäßiger Restart von Pods
APP.4.6.A1 Absicherung von Reports mit Berechtigungsprüfungen
APP.4.6.A2 Formal korrekte Auswertung von Berechtigungsprüfungen
APP.4.6.A4 Verzicht auf proprietäre Berechtigungsprüfungen
APP.4.6.A8 Schutz vor unberechtigten oder manipulierenden Zugriffen auf das Dateisystem
APP.4.6.A10 Verhinderung der Ausführung von Betriebssystemkommandos
APP.4.6.A11 Vermeidung von eingeschleustem Schadcode
APP.4.6.A12 Vermeidung von generischer Modulausführung
APP.4.6.A13 Vermeidung von generischem Zugriff auf Tabelleninhalte
APP.4.6.A14 Vermeidung von nativen SQL-Anweisungen
APP.4.6.A15 Vermeidung von Datenlecks
APP.4.6.A16 Verzicht auf systemabhängige Funktionsausführung
APP.4.6.A17 Verzicht auf mandantenabhängige Funktionsausführung
APP.4.6.A18 Vermeidung von Open-SQL-Injection-Schwachstellen
APP.4.6.A19 Schutz vor Cross-Site-Scripting
APP.4.6.A20 Keine Zugriffe auf Daten eines anderen Mandanten
APP.4.6.A21 Verbot von verstecktem ABAP-Quelltext
APP.5.2.A5 Datensicherung von Exchange
APP.5.3.A3 Datensicherung und Archivierung von E-Mails
APP.6.A8 Regelung zur Verfügbarkeit der Installationsdateien
APP.7.A9 Treuhänderische Hinterlegung
SYS.1.1.A21 Betriebsdokumentation für Server
SYS.1.1.A37 Kapselung von sicherheitskritischen Anwendungen und Betriebssystemkomponenten
SYS.1.2.2.A2 Sichere Installation von Windows Server 2012
SYS.1.2.2.A3 Sichere Administration von Windows Server 2012
SYS.1.2.2.A4 Sichere Konfiguration von Windows Server 2012
SYS.1.2.2.A5 Schutz vor Schadsoftware auf Windows Server 2012
SYS.1.2.2.A6 Sichere Authentisierung und Autorisierung in Windows Server 2012
SYS.1.2.2.A11 Angriffserkennung bei Windows Server 2012
SYS.1.2.2.A12 Redundanz und Hochverfügbarkeit bei Windows Server 2012
SYS.1.3.A2 Sorgfältige Vergabe von IDs
SYS.1.3.A16 Zusätzliche Verhinderung der Ausbreitung bei der Ausnutzung von Schwachstellen
SYS.1.3.A17 Zusätzlicher Schutz des Kernels
SYS.1.6.A1 Planung des Container-Einsatzes
SYS.1.6.A3 Sicherer Einsatz containerisierter IT-Systeme
SYS.1.6.A7 Persistenz von Protokollierungsdaten der Container
SYS.1.6.A9 Eignung für Container-Betrieb
SYS.1.6.A10 Richtlinie für Images und Container-Betrieb
SYS.1.6.A12 Verteilung sicherer Images
SYS.1.6.A13 Freigabe von Images
SYS.1.6.A14 Aktualisierung von Images
SYS.1.6.A18 Accounts der Anwendungsdienste
SYS.1.6.A19 Einbinden von Datenspeichern in Container
SYS.1.7.A1 Einsatz restriktiver z/OS-Kennungen
SYS.1.7.A2 Absicherung sicherheitskritischer z/OS-Dienstprogramme
SYS.1.7.A3 Wartung von Z-Systemen
SYS.1.7.A4 Schulung des z/OS-Bedienungspersonals
SYS.1.7.A5 Einsatz und Sicherung systemnaher z/OS-Terminals
SYS.1.7.A6 Einsatz und Sicherung der Remote Support Facility
SYS.1.7.A7 Restriktive Autorisierung unter z/OS
SYS.1.7.A8 Einsatz des z/OS-Sicherheitssystems RACF
SYS.1.7.A9 Mandantenfähigkeit unter z/OS
SYS.1.7.A14 Berichtswesen zum sicheren Betrieb von z/OS
SYS.1.7.A16 Überwachung von z/OS-Systemen
SYS.1.7.A17 Synchronisierung von z/OS-Passwörtern und RACF-Kommandos
SYS.1.7.A19 Absicherung von z/OS-Transaktionsmonitoren
SYS.1.7.A22 Absicherung der Betriebsfunktionen von z/OS
SYS.1.7.A23 Absicherung von z/VM
SYS.1.7.A24 Datenträgerverwaltung unter z/OS-Systemen
SYS.1.7.A25 Festlegung der Systemdimensionierung von z/OS
SYS.1.7.A26 WorkLoad Management für z/OS-Systeme
SYS.1.7.A27 Zeichensatzkonvertierung bei z/OS-Systemen
SYS.1.7.A29 Absicherung von Unix System Services bei z/OS-Systemen
SYS.1.7.A31 Notfallvorsorge für z/OS-Systeme
SYS.1.7.A33 Trennung von Test- und Produktionssystemen unter z/OS
SYS.1.7.A34 Batch-Job-Planung für z/OS-Systeme
SYS.1.7.A35 Einsatz von RACF-Exits
SYS.1.7.A37 Parallel Sysplex unter z/OS
SYS.1.7.A38 Einsatz des VTAM Session Management Exit unter z/OS
SYS.1.8.A20 Notfallvorsorge und Notfallreaktion für Speicherlösungen
SYS.2.1.A27 Geregelte Außerbetriebnahme eines Clients
SYS.2.1.A35 Aktive Verwaltung der Wurzelzertifikate
SYS.2.2.2.A3 Einsatz von Viren-Schutzprogrammen unter Windows 8.1
SYS.2.2.2.A8 Keine Verwendung der Heimnetzgruppen-Funktion
SYS.2.2.2.A10 Integration von Online-Konten in das Betriebssystem
SYS.2.2.2.A11 Konfiguration von Synchronisationsmechanismen in Windows 8.1
SYS.2.3.A6 Kein automatisches Einbinden von Wechsellaufwerken
SYS.2.3.A9 Sichere Verwendung von Passwörtern auf der Kommandozeile
SYS.2.3.A11 Verhinderung der Überlastung der lokalen Festplatte
SYS.2.3.A12 Sicherer Einsatz von Appliances
SYS.2.3.A18 Zusätzlicher Schutz des Kernels
SYS.2.4.A1 Planung des sicheren Einsatzes von macOS
SYS.2.4.A8 Keine Nutzung von iCloud für schützenswerte Daten
SYS.2.4.A11 Geräteaussonderung von Macs
SYS.3.1.A1 Regelungen zur mobilen Nutzung von Laptops
SYS.3.1.A6 Sicherheitsrichtlinien für Laptops
SYS.3.1.A8 Sicherer Anschluss von Laptops an Datennetze
SYS.3.1.A9 Sicherer Fernzugriff mit Laptops
SYS.3.2.1.A9 Restriktive Nutzung von funktionalen Erweiterungen
SYS.3.2.2.A3 Auswahl eines MDM-Produkts
IND.2.1.A1 Einschränkung des Zugriffs für Konfigurations- und Wartungsschnittstellen
IND.2.1.A7 Erstellung von Datensicherungen
IND.2.1.A16 Schutz externer Schnittstellen
IND.2.1.A18 Kommunikation im Störfall
NET.1.2.A6 Regelmäßige Datensicherung
NET.1.2.A35 Festlegungen zur Beweissicherung
NET.1.2.A36 Einbindung der Protokollierung des Netzmanagements in eine SIEM-Lösung
NET.1.2.A38 Festlegung von Notbetriebsformen für die Netzmanagement-Infrastruktur
NET.3.1.A5 Schutz vor Fragmentierungsangriffen
NET.3.1.A15 Bogon- und Spoofing-Filterung
NET.3.1.A16 Schutz vor “IPv6 Routing Header Type-0”-Angriffen
NET.3.1.A17 Schutz vor DoS- und DDoS-Angriffen
NET.3.1.A18 Einrichtung von Access Control Lists
NET.3.1.A19 Sicherung von Switch-Ports
NET.3.1.A28 Einsatz von zertifizierten Produkten
NET.3.2.A4 Sichere Konfiguration der Firewall
NET.3.2.A6 Schutz der Administrationsschnittstellen
NET.3.2.A9 Protokollierung
NET.3.2.A22 Sichere Zeitsynchronisation
NET.3.2.A25 Erweiterter Integritätsschutz für die Konfigurationsdateien
NET.4.2.A7 Erstellung einer Sicherheitsrichtlinie für VoIP
INF.6.A6 Vermeidung von wasserführenden Leitungen
INF.9.A2 Regelungen für mobile Arbeitsplätze
INF.9.A10 Einsatz von Diebstahlsicherungen
INF.9.A12 Nutzung eines Bildschirmschutzes
INF.10.A7 Sichere Konfiguration von Schulungs- und Präsentationsrechnern
Link von extern: https://dsz365.de/elementare-gefaehrdungen/#datenverlust
Die Integrität von Informationen kann durch verschiedene Ursachen beeinträchtigt werden, z. B. durch Manipulationen, Fehlverhalten von Personen, Fehlbedienung von Anwendungen, Fehlfunktionen von Software oder Übermittlungsfehler.
Durch die Alterung von Datenträgern kann es zu Informationsverlusten kommen.
Übertragungsfehler: Bei der Datenübertragung kann es zu Übertragungsfehlern kommen.
Schadprogramme: Durch Schadprogramme können ganze Datenbestände verändert oder zerstört werden.
Fehleingaben: Durch Fehleingaben kann es zu so nicht gewünschten Transaktionen kommen, die häufig lange Zeit nicht bemerkt werden.
Angreifer können versuchen, Daten für ihre Zwecke zu manipulieren, z. B. um Zugriff auf weitere ITSysteme oder Datenbestände zu erlangen.
Durch Manipulation der Index-Datenbank können elektronische Archive veranlasst werden, gefälschte Dokumente zu archivieren oder wiederzugeben.
Wenn Informationen nicht mehr integer sind, kann es zu einer Vielzahl von Problemen kommen:
Informationen können im einfachsten Fall nicht mehr gelesen, also weiterverarbeitet werden.
Daten können versehentlich oder vorsätzlich so verfälscht werden, dass dadurch falsche Informationen weitergegeben werden. Hierdurch können beispielsweise Überweisungen in falscher Höhe oder an den falschen Empfänger ausgelöst werden, die Absenderangaben von E-Mails könnten manipuliert werden oder vieles mehr.
Wenn verschlüsselte oder komprimierte Datensätze ihre Integrität verlieren (hier reicht die Änderung eines Bits), können sie unter Umständen nicht mehr entschlüsselt bzw. entpackt werden.
Dasselbe gilt auch für kryptographische Schlüssel, auch hier reicht die Änderung eines Bits, damit die Schlüssel unbrauchbar werden. Dies führt dann ebenfalls dazu, dass Daten nicht mehr entschlüsselt oder auf ihre Authentizität überprüft werden können.
ORP.1.A1 Festlegung von Verantwortlichkeiten und Regelungen
ORP.1.A2 Zuweisung der Zuständigkeiten
ORP.1.A13 Sicherheit bei Umzügen
ORP.1.A15 Ansprechpartner zu Sicherheitsfragen
ORP.1.A16 Mitarbeiterrichtlinie zur sicheren IT-Nutzung
ORP.2.A1 Geregelte Einarbeitung neuer Mitarbeiter
ORP.2.A2 Geregelte Verfahrensweise beim Weggang von Mitarbeitern
ORP.2.A4 Festlegung von Regelungen für den Einsatz von Fremdpersonal
ORP.2.A5 Vertraulichkeitsvereinbarungen für den Einsatz von Fremdpersonal
ORP.2.A7 Überprüfung der Vertrauenswürdigkeit von Mitarbeitern
ORP.2.A14 Aufgaben und Zuständigkeiten von Mitarbeitern
ORP.2.A15 Qualifikation des Personals
ORP.3.A1 Sensibilisierung der Institutionsleitung für Informationssicherheit
ORP.3.A3 Einweisung des Personals in den sicheren Umgang mit IT
ORP.3.A9 Spezielle Schulung von exponierten Personen und Institutionen
ORP.4.A9 Identifikation und Authentisierung
CON.3.A12 Sichere Aufbewahrung der Speichermedien für die Datensicherungen
CON.3.A13 Einsatz kryptografischer Verfahren bei der Datensicherung
CON.7.A3 Identifikation länderspezifischer Regelungen
CON.7.A10 Verschlüsselung tragbarer IT-Systeme und Datenträger
CON.7.A13 Mitnahme notwendiger Daten und Datenträger
CON.7.A14 Kryptografisch abgesicherte E-Mail-Kommunikation
CON.7.A16 Integritätsschutz durch Check-Summen oder digitale Signaturen
CON.8.A5 Sicheres Systemdesign
CON.8.A11 Erstellung einer Richtlinie für die Software-Entwicklung
CON.8.A16 Geeignete Steuerung der Software-Entwicklung
CON.8.A17 Auswahl vertrauenswürdiger Entwicklungswerkzeuge
OPS.1.1.3.A10 Sicherstellung der Integrität und Authentizität von Softwarepaketen
OPS.1.1.4.A1 Erstellung eines Konzepts für den Schutz vor Schadprogrammen
OPS.1.1.4.A2 Nutzung systemspezifischer Schutzmechanismen
OPS.1.1.4.A3 Auswahl eines Virenschutzprogrammes für Endgeräte
OPS.1.1.4.A5 Betrieb und Konfiguration von Virenschutzprogrammen
OPS.1.1.4.A6 Regelmäßige Aktualisierung der eingesetzten Virenschutzprogramme und Signaturen
OPS.1.1.4.A7 Sensibilisierung und Verpflichtung der Benutzer
OPS.1.1.4.A9 Meldung von Infektionen mit Schadprogrammen
OPS.1.1.4.A10 Nutzung spezieller Analyseumgebungen
OPS.1.1.4.A11 Einsatz mehrerer Scan-Engines
OPS.1.1.4.A12 Einsatz von Datenträgerschleusen
OPS.1.1.4.A13 Umgang mit nicht vertrauenswürdigen Dateien
OPS.1.1.4.A14 Auswahl und Einsatz von Cyber-Sicherheitsprodukten gegen gezielte Angriffe
OPS.1.1.5.A5 Einhaltung rechtlicher Rahmenbedingungen
OPS.1.1.5.A9 Bereitstellung von Protokollierungsdaten für die Auswertung
OPS.1.1.5.A12 Verschlüsselung der Protokollierungsdaten
OPS.1.1.6.A13 Trennung der Testumgebung von der Produktivumgebung
OPS.1.2.2.A6 Schutz der Integrität der Indexdatenbank von Archivsystemen
OPS.1.2.2.A7 Regelmäßige Datensicherung der System- und Archivdaten
OPS.1.2.2.A9 Auswahl geeigneter Datenformate für die Archivierung von Dokumenten
OPS.1.2.2.A12 Überwachung der Speicherressourcen von Archivmedien
OPS.1.2.2.A15 Regelmäßige Aufbereitung von kryptografisch gesicherten Daten bei der Archivierung
OPS.1.2.2.A16 Regelmäßige Erneuerung technischer Archivsystem-Komponenten
OPS.1.2.2.A20 Geeigneter Einsatz kryptografischer Verfahren bei der Archivierung
OPS.1.2.4.A1 Regelungen für Telearbeit
OPS.1.2.4.A2 Sicherheitstechnische Anforderungen an den Telearbeitsrechner
OPS.1.2.4.A5 Sensibilisierung und Schulung der Telearbeiter
OPS.1.2.4.A7 Regelung der Nutzung von Kommunikationsmöglichkeiten bei Telearbeit
OPS.1.2.4.A8 Informationsfluss zwischen Telearbeiter und Institution
OPS.1.2.4.A9 Betreuungs- und Wartungskonzept für Telearbeitsplätze
OPS.1.2.6.A3 Sichere Konfiguration von NTP-Servern
OPS.1.2.6.A5 Nutzung des Client-Server-Modus für NTP
OPS.1.2.6.A7 Sichere Konfiguration von NTP-Clients
OPS.1.2.6.A8 Einsatz sicherer Protokolle zur Zeitsynchronisation
OPS.1.2.6.A9 Verfügbarkeit ausreichend vieler exakter Zeitquellen
OPS.3.1.A3 Erstellung eines Sicherheitskonzepts für das Outsourcing-Vorhaben
OPS.3.1.A4 Festlegung der möglichen Kommunikationspartner
OPS.3.1.A7 Erstellung eines Mandantentrennungskonzeptes durch den Outsourcing-Dienstleister
OPS.3.1.A9 Vereinbarung über Datenaustausch zwischen den Outsourcing-Partnern
OPS.3.1.A10 Planung und Aufrechterhaltung der Informationssicherheit im laufenden Outsourcing-Betrieb
OPS.3.1.A13 Sichere Migration bei Outsourcing-Vorhaben
OPS.3.1.A15 Geordnete Beendigung eines Outsourcing-Verhältnisses
DER.1.A15 Zentrale Detektion und Echtzeitüberprüfung von Ereignismeldungen
DER.1.A16 Einsatz von Detektionssystemen nach Schutzbedarfsanforderungen
DER.1.A18 Durchführung regelmäßiger Integritätskontrollen
DER.2.1.A6 Wiederherstellung der Betriebsumgebung nach Sicherheitsvorfällen
DER.2.1.A10 Eindämmen der Auswirkung von Sicherheitsvorfällen
DER.2.1.A12 Festlegung der Schnittstellen der Sicherheitsvorfallbehandlung zur Störungs- und Fehlerbehebung
DER.2.1.A13 Einbindung in das Sicherheits- und Notfallmanagement
DER.2.1.A14 Eskalationsstrategie für Sicherheitsvorfälle
DER.2.1.A17 Nachbereitung von Sicherheitsvorfällen
DER.2.1.A18 Weiterentwicklung der Prozesse durch Erkenntnisse aus Sicherheitsvorfällen und Branchenentwicklungen
DER.2.1.A19 Festlegung von Prioritäten für die Behandlung von Sicherheitsvorfällen
DER.2.1.A20 Einrichtung einer internen Meldestelle für Sicherheitsvorfälle
DER.2.1.A21 Einrichtung eines Expertenteams für die Behandlung von Sicherheitsvorfällen
DER.2.1.A22 Überprüfung des Managementsystems zur Behandlung von Sicherheitsvorfällen
DER.2.2.A2 Erstellung eines Leitfadens für Erstmaßnahmen bei einem IT-Sicherheitsvorfall
DER.2.2.A4 Festlegung von Schnittstellen zum Krisen- und Notfallmanagement
DER.2.2.A5 Erstellung eines Leitfadens für Beweissicherungsmaßnahmen bei IT-Sicherheitsvorfällen
DER.2.2.A6 Schulung des Personals für die Umsetzung der forensischen Sicherung
DER.2.2.A7 Auswahl von Werkzeugen zur Forensik
DER.2.2.A8 Auswahl und Reihenfolge der zu sichernden Beweismittel
DER.2.2.A9 Vorauswahl forensisch relevanter Daten
DER.2.2.A10 IT-forensische Sicherung von Beweismitteln
DER.2.2.A11 Dokumentation der Beweissicherung
DER.2.2.A12 Sichere Verwahrung von Originaldatenträgern und Beweismitteln
DER.2.2.A14 Festlegung von Standardverfahren für die Beweissicherung
DER.2.2.A15 Durchführung von Übungen zur Beweissicherung
DER.2.3.A1 Einrichtung eines Leitungsgremiums
DER.2.3.A2 Entscheidung für eine Bereinigungsstrategie
DER.2.3.A3 Isolierung der betroffenen Netzabschnitte
DER.2.3.A4 Sperrung und Änderung von Zugangsdaten und kryptografischen Schlüsseln
DER.2.3.A7 Gezielte Systemhärtung
DER.2.3.A8 Etablierung sicherer
DER.2.3.A9 Hardwaretausch betroffener IT-Systeme
DER.2.3.A10 Umbauten zur Erschwerung eines erneuten Angriffs durch denselben Angreifer
DER.3.1.A1 Definition von Verantwortlichkeiten
DER.3.1.A5 Integration in den Informationssicherheitsprozess
DER.3.1.A7 Erstellung eines Auditprogramms
DER.3.1.A8 Erstellung einer Revisionsliste
DER.3.1.A9 Auswahl eines geeigneten Audit- oder Revionsteams
DER.3.1.A22 Erstellung eines Auditberichts
DER.3.1.A23 Dokumentation der Revisionsergebnisse
DER.3.1.A24 Abschluss des Audits oder der Revision
DER.3.1.A26 Überwachen und Anpassen des Auditprogramms
DER.3.1.A27 Aufbewahrung und Archivierung von Unterlagen zu Audits und Revisionen
DER.3.2.A8 Aufbewahrung von IS-Revisionsberichten
DER.3.2.A10 Kommunikationsabsprache
DER.3.2.A17 Durchführung der Vor-Ort-Prüfung
DER.3.2.A21 Erstellung eines IS-Revisionsberichts
APP.1.1.A6 Testen neuer Versionen von Office-Produkten
APP.1.1.A12 Verzicht auf Cloud-Speicherung
APP.1.1.A14 Schutz gegen nachträgliche Veränderungen von Dokumenten
APP.1.1.A15 Einsatz von Verschlüsselung und Digitalen Signaturen
APP.1.1.A16 Integritätsprüfung von Dokumenten
APP.1.1.A17 Sensibilisierung zu spezifischen Office-Eigenschaften
APP.1.2.A2 Unterstützung sicherer Verschlüsselung der Kommunikation
APP.1.2.A3 Verwendung von vertrauenswürdigen Zertifikaten
APP.2.1.A2 Planung des Einsatzes von Verzeichnisdiensten
APP.2.1.A3 Einrichtung von Zugriffsberechtigungen auf Verzeichnisdienste
APP.2.1.A6 Sicherer Betrieb von Verzeichnisdiensten
APP.2.1.A11 Einrichtung des Zugriffs auf Verzeichnisdienste
APP.2.1.A13 Absicherung der Kommunikation mit Verzeichnisdiensten
APP.2.2.A1 Planung des Active Directory
APP.2.2.A2 Planung der Active-Directory-Administration
APP.2.2.A3 Planung der Gruppenrichtlinien unter Windows
APP.2.2.A5 Härtung des Active Directory
APP.2.2.A6 Aufrechterhaltung der Betriebssicherheit von Active Directory
APP.2.2.A7 Umsetzung sicherer Verwaltungsmethoden für Active Directory
APP.2.2.A8 Konfiguration des “Sicheren Kanals” unter Windows
APP.2.2.A9 Schutz der Authentisierung beim Einsatz von Active Directory
APP.2.2.A10 Sicherer Einsatz von DNS für Active Directory
APP.3.1.A11 Sichere Anbindung von Hintergrundsystemen
APP.3.2.A1 Sichere Konfiguration eines Webservers
APP.3.2.A2 Schutz der Webserver-Dateien
APP.3.2.A14 Integritätsprüfungen und Schutz vor Schadsoftware
APP.3.3.A2 Einsatz von RAID-Systemen
APP.3.3.A7 Auswahl eines Dateisystems
APP.3.3.A14 Einsatz von Error-Correction-Codes
APP.3.4.A4 Vermeidung der NTFS-Eigenschaften auf einem Samba-Server
APP.3.4.A5 Sichere Konfiguration der Zugriffssteuerung bei einem Samba-Server
APP.3.4.A15 Verschlüsselung der Datenpakete unter Samba
APP.3.6.A4 Sichere Grundkonfiguration eines DNS-Servers
APP.3.6.A17 Einsatz von DNSSEC
APP.3.6.A18 Erweiterte Absicherung von Zonentransfers
APP.4.2.A1 Sichere Konfiguration des SAP-ABAP-Stacks
APP.4.2.A2 Sichere Konfiguration des SAP-JAVA-Stacks
APP.4.2.A4 Absicherung der ausgelieferten SAP-Standardbenutzer-Kennungen
APP.4.2.A5 Konfiguration und Absicherung der SAP-Benutzerverwaltung
APP.4.2.A6 Erstellung und Umsetzung eines Benutzer- und Berechtigungskonzeptes
APP.4.2.A7 Absicherung der SAP-Datenbanken
APP.4.2.A8 Absicherung der SAP-RFC-Schnittstelle
APP.4.2.A11 Sichere Installation eines SAP-ERP-Systems
APP.4.2.A12 SAP-Berechtigungsentwicklung
APP.4.2.A22 Schutz des Spools im SAP-ERP-System
APP.4.2.A23 Schutz der SAP-Hintergrundverarbeitung
APP.4.2.A26 Schutz des kundeneigenen Codes im SAP-ERP-System
APP.4.2.A29 Einrichten eines Notfallbenutzers
APP.4.2.A30 Implementierung eines kontinuierlichen Monitorings der Sicherheitseinstellungen
APP.4.2.A32 Echtzeiterfassung und Alarmierung von irregulären Vorgängen
APP.4.3.A17 Datenübernahme oder Migration
APP.4.3.A23 Archivierung
SYS.4.5.A11 Integritätsschutz durch Checksummen oder digitale Signaturen
APP.4.6.A1 Absicherung von Reports mit Berechtigungsprüfungen
APP.4.6.A2 Formal korrekte Auswertung von Berechtigungsprüfungen
APP.4.6.A4 Verzicht auf proprietäre Berechtigungsprüfungen
APP.4.6.A6 Vollständige Ausführung von Berechtigungsprüfungen
APP.4.6.A7 Berechtigungsprüfung während der Eingabeverarbeitung
APP.4.6.A8 Schutz vor unberechtigten oder manipulierenden Zugriffen auf das Dateisystem
APP.4.6.A10 Verhinderung der Ausführung von Betriebssystemkommandos
APP.4.6.A11 Vermeidung von eingeschleustem Schadcode
APP.4.6.A12 Vermeidung von generischer Modulausführung
APP.4.6.A13 Vermeidung von generischem Zugriff auf Tabelleninhalte
APP.4.6.A14 Vermeidung von nativen SQL-Anweisungen
APP.4.6.A16 Verzicht auf systemabhängige Funktionsausführung
APP.4.6.A17 Verzicht auf mandantenabhängige Funktionsausführung
APP.4.6.A18 Vermeidung von Open-SQL-Injection-Schwachstellen
APP.4.6.A19 Schutz vor Cross-Site-Scripting
APP.4.6.A20 Keine Zugriffe auf Daten eines anderen Mandanten
APP.4.6.A21 Verbot von verstecktem ABAP-Quelltext
APP.5.2.A9 Sichere Konfiguration von Exchange-Servern
APP.6.A2 Erstellung eines Anforderungskatalogs für Software
APP.6.A6 Berücksichtigung empfohlener Sicherheitsanforderungen
SYS.1.1.A34 Festplattenverschlüsselung
SYS.1.1.A38 Härtung des Host-Systems mittels Read-Only-Dateisystem
SYS.1.2.2.A2 Sichere Installation von Windows Server 2012
SYS.1.2.2.A3 Sichere Administration von Windows Server 2012
SYS.1.2.2.A4 Sichere Konfiguration von Windows Server 2012
SYS.1.2.2.A5 Schutz vor Schadsoftware auf Windows Server 2012
SYS.1.2.2.A6 Sichere Authentisierung und Autorisierung in Windows Server 2012
SYS.1.2.2.A8 Schutz der Systemintegrität
SYS.1.2.2.A11 Angriffserkennung bei Windows Server 2012
SYS.1.2.2.A14 Herunterfahren verschlüsselter Server und virtueller Maschinen
SYS.1.3.A2 Sorgfältige Vergabe von IDs
SYS.1.3.A14 Verhinderung des Ausspähens von System- und Benutzerinformationen
SYS.1.5.A5 Schutz der Administrationsschnittstellen
SYS.1.5.A11 Administration der Virtualisierungsinfrastruktur über ein gesondertes Managementnetz
SYS.1.5.A26 Einsatz einer PKI
SYS.1.6.A1 Planung des Container-Einsatzes
SYS.1.6.A2 Planung der Verwaltung
SYS.1.6.A3 Sicherer Einsatz containerisierter IT-Systeme
SYS.1.6.A5 Separierung der Administrations- und Zugangsnetze bei Containern
SYS.1.6.A6 Verwendung sicherer Images
SYS.1.6.A8 Speicherung von Zugangsdaten bei Containern
SYS.1.6.A9 Eignung für Container-Betrieb
SYS.1.6.A10 Richtlinie für Images und Container-Betrieb
SYS.1.6.A12 Verteilung sicherer Images
SYS.1.6.A13 Freigabe von Images
SYS.1.6.A14 Aktualisierung von Images
SYS.1.6.A16 Administrativer Fernzugriff auf Container
SYS.1.6.A17 Ausführung von Containern ohne Privilegien
SYS.1.6.A18 Accounts der Anwendungsdienste
SYS.1.6.A19 Einbinden von Datenspeichern in Container
SYS.1.6.A21 Erweiterte Sicherheitsrichtlinien
SYS.1.6.A23 Unveränderlichkeit der Container
SYS.1.6.A24 Hostbasierte Angriffserkennung
SYS.1.6.A26 Weitergehende Isolation und Kapselung von Containern
SYS.1.7.A1 Einsatz restriktiver z/OS-Kennungen
SYS.1.7.A2 Absicherung sicherheitskritischer z/OS-Dienstprogramme
SYS.1.7.A3 Wartung von Z-Systemen
SYS.1.7.A4 Schulung des z/OS-Bedienungspersonals
SYS.1.7.A5 Einsatz und Sicherung systemnaher z/OS-Terminals
SYS.1.7.A6 Einsatz und Sicherung der Remote Support Facility
SYS.1.7.A7 Restriktive Autorisierung unter z/OS
SYS.1.7.A8 Einsatz des z/OS-Sicherheitssystems RACF
SYS.1.7.A9 Mandantenfähigkeit unter z/OS
SYS.1.7.A14 Berichtswesen zum sicheren Betrieb von z/OS
SYS.1.7.A16 Überwachung von z/OS-Systemen
SYS.1.7.A19 Absicherung von z/OS-Transaktionsmonitoren
SYS.1.7.A22 Absicherung der Betriebsfunktionen von z/OS
SYS.1.7.A23 Absicherung von z/VM
SYS.1.7.A24 Datenträgerverwaltung unter z/OS-Systemen
SYS.1.7.A26 WorkLoad Management für z/OS-Systeme
SYS.1.7.A27 Zeichensatzkonvertierung bei z/OS-Systemen
SYS.1.7.A29 Absicherung von Unix System Services bei z/OS-Systemen
SYS.1.7.A33 Trennung von Test- und Produktionssystemen unter z/OS
SYS.1.7.A34 Batch-Job-Planung für z/OS-Systeme
SYS.1.7.A35 Einsatz von RACF-Exits
SYS.1.7.A36 Interne Kommunikation von Betriebssystemen
SYS.1.7.A38 Einsatz des VTAM Session Management Exit unter z/OS
SYS.1.8.A23 Einsatz von Verschlüsselung für Speicherlösungen
SYS.1.8.A24 Sicherstellung der Integrität der SAN-Fabric
SYS.2.1.A18 Nutzung von verschlüsselten Kommunikationsverbindungen
SYS.2.2.2.A2 Festlegung eines Anmeldeverfahrens für Windows 8.1
SYS.2.2.2.A3 Einsatz von Viren-Schutzprogrammen unter Windows 8.1
SYS.2.2.2.A5 Lokale Sicherheitsrichtlinien für Windows 8.1
SYS.2.2.2.A7 Einsatz der Windows-Benutzerkontensteuerung UAC
SYS.2.2.2.A9 Datenschutz und Datensparsamkeit bei Windows 8.1-Clients
SYS.2.2.2.A12 Sichere zentrale Authentisierung in Windows-Netzen
SYS.2.2.2.A13 Anbindung von Windows 8.1 an den Microsoft Store
SYS.2.2.2.A14 Anwendungssteuerung mit Software Restriction Policies und AppLocker
SYS.2.2.2.A15 Verschlüsselung des Dateisystems mit EFS
SYS.2.2.2.A20 Sicherheit beim Fernzugriff über RDP
SYS.2.2.2.A21 Einsatz von File und Registry Virtualization
SYS.2.3.A9 Sichere Verwendung von Passwörtern auf der Kommandozeile
SYS.2.3.A11 Verhinderung der Überlastung der lokalen Festplatte
SYS.2.3.A12 Sicherer Einsatz von Appliances
SYS.2.3.A18 Zusätzlicher Schutz des Kernels
SYS.2.3.A19 Festplatten- oder Dateiverschlüsselung
SYS.2.4.A12 Firmware-Kennwort und Boot-Schutz auf Macs
SYS.3.2.1.A9 Restriktive Nutzung von funktionalen Erweiterungen
SYS.3.2.3.A1 Strategie für die iOS-Nutzung
SYS.3.2.3.A2 Planung des Einsatzes von Cloud-Diensten
SYS.3.2.3.A7 Verhinderung des unautorisierten Löschens von Konfigurationsprofilen
SYS.3.2.3.A12 Verwendung von Apple-IDs
SYS.3.2.3.A13 Verwendung der Konfigurationsoption “Einschränkungen unter iOS”
SYS.3.2.3.A15 Verwendung der Continuity-Funktionen
SYS.3.2.3.A17 Verwendung der Gerätecode-Historie
SYS.3.2.3.A21 Freigabe von Apps und Einbindung des Apple App Stores
SYS.3.2.3.A25 Verwendung der Konfigurationsoption für AirPrint
SYS.3.2.3.A26 Keine Verbindung mit Host-Systemen
SYS.3.2.4.A2 Deaktivieren der Entwickler-Optionen
SYS.4.3.A8 Einsatz eines sicheren Betriebssystem für eingebettete Systeme
SYS.4.3.A9 Einsatz kryptografischer Prozessoren bzw. Koprozessoren bei eingebetteten Systemen
SYS.4.3.A13 Einsatz eines zertifizierten Betriebssystems
SYS.4.3.A17 Automatische Überwachung der Baugruppenfunktion
SYS.4.3.A18 Widerstandsfähigkeit eingebetteter Systeme gegen Seitenkanalangriffe
SYS.4.5.A11 Integritätsschutz durch Checksummen oder digitale Signaturen
IND.1.A9 Restriktiver Einsatz von Wechseldatenträgern und mobilen Endgeräten
IND.2.1.A1 Einschränkung des Zugriffs für Konfigurations- und Wartungsschnittstellen
IND.2.1.A2 Nutzung sicherer Übertragungsprotokolle für die Konfiguration und Wartung
IND.2.1.A17 Nutzung sicherer Protokolle für die Übertragung von Informationen
IND.2.1.A19 Security-Tests
IND.2.7.A1 Erfassung und Dokumentation
IND.2.7.A2 Zweckgebundene Nutzung der Hard- und Softwarekomponenten
IND.2.7.A3 Änderung des Anwendungsprogramms auf dem Logiksystem
IND.2.7.A7 Trennung und Unabhängigkeit des SIS von der Umgebung
IND.2.7.A8 Sichere Übertragung von Engineering Daten auf SIS
IND.2.7.A9 Absicherung der Daten- und Signalverbindungen
IND.2.7.A11 Umgang mit integrierten Systemen
NET.1.1.A7 Absicherung von schützenswerten Informationen
NET.1.1.A9 Grundlegende Absicherung der Kommunikation mit nicht vertrauenswürdigen Netzen
NET.1.2.A9 Absicherung der Netzmanagement-Kommunikation
NET.1.2.A31 Grundsätzliche Nutzung von sicheren Protokollen
NET.1.2.A35 Festlegungen zur Beweissicherung
NET.1.2.A36 Einbindung der Protokollierung des Netzmanagements in eine SIEM-Lösung
NET.3.1.A5 Schutz vor Fragmentierungsangriffen
NET.3.1.A15 Bogon- und Spoofing-Filterung
NET.3.1.A16 Schutz vor “IPv6 Routing Header Type-0”-Angriffen
NET.3.1.A17 Schutz vor DoS- und DDoS-Angriffen
NET.3.1.A18 Einrichtung von Access Control Lists
NET.3.1.A19 Sicherung von Switch-Ports
NET.3.1.A28 Einsatz von zertifizierten Produkten
NET.3.2.A2 Festlegen der Firewall-Regeln
NET.3.2.A3 Einrichten geeigneter Filterregeln am Paketfilter
NET.3.2.A4 Sichere Konfiguration der Firewall
NET.3.2.A6 Schutz der Administrationsschnittstellen
NET.3.2.A9 Protokollierung
NET.3.2.A22 Sichere Zeitsynchronisation
NET.3.2.A25 Erweiterter Integritätsschutz für die Konfigurationsdateien
NET.3.2.A28 Zentrale Filterung von aktiven Inhalten
NET.3.3.A7 Planung der technischen VPN-Realisierung
NET.3.3.A10 Sicherer Betrieb eines VPN
NET.3.3.A13 Integration von VPN-Komponenten in eine Firewall
NET.4.2.A1 Planung des VoIP-Einsatzes
NET.4.2.A7 Erstellung einer Sicherheitsrichtlinie für VoIP
NET.4.2.A8 Verschlüsselung von VoIP
NET.4.2.A13 Anforderungen an eine Firewall für den Einsatz von VoIP
NET.4.2.A14 Verschlüsselung der Signalisierung
INF.6.A2 Zutrittsregelung und -kontrolle
INF.6.A3 Schutz vor Staub und anderer Verschmutzung
INF.6.A4 Geschlossene Fenster und abgeschlossene Türen
INF.6.A8 Sichere Türen und Fenster
INF.7.A2 Geschlossene Fenster und abgeschlossene Türen
INF.7.A5 Ergonomischer Arbeitsplatz
INF.7.A6 Aufgeräumter Arbeitsplatz
INF.7.A7 Geeignete Aufbewahrung dienstlicher Unterlagen und Datenträger
INF.9.A3 Zutritts- und Zugriffsschutz
INF.9.A4 Arbeiten mit fremden IT-Systemen
INF.9.A6 Entsorgung von vertraulichen Informationen
INF.9.A8 Sicherheitsrichtlinie für mobile Arbeitsplätze
INF.9.A12 Nutzung eines Bildschirmschutzes
INF.14.A3 Sichere Anbindung von TGA-Anlagen und GA-Systemen
INF.INF.14.A15 Absicherung von GA-spezifischen Netzen
INF.14.A16 Absicherung von drahtloser Kommunikation in GA-Netzen
INF.14.A17 Absicherung von Mobilfunkkommunikation in GA-Netzen
INF.14.A18 Sichere Anbindung von GA-eXternen Systemen
INF.14.A24 Zeitsynchronisation für die GA
INF.14.A28 Physische Trennung der GA
INF.14.A29 Trennung einzelner TGA-Anlagen
INF.14.A30 Bereitstellung eines GA-eigenen Zeitservers zur Zeitsynchronisation
Link von extern: https://dsz365.de/#integritaetsverlust
T-gestützte Angriffe können Auswirkungen haben, die
Ursächlich hierfür sind die hohe Komplexität und Vernetzung moderner Informationstechnik sowie die Tatsache, dass die Abhängigkeiten der angegriffenen Zielobjekte und der zugehörigen Prozesse in der Regel nicht offenkundig sind.
Dadurch kann es unter anderem dazu kommen, dass der tatsächliche Schutzbedarf von Zielobjekten falsch eingeschätzt wird oder dass die Verantwortlichen für die Zielobjekte kein Eigeninteresse an der Behebung von Mängeln dieser Zielobjekte haben.
Beispiele:
INF.13.A11 Angemessene Härtung von Systemen im TGM
INF.13.A12 Sichere Konfiguration der TGM-Systeme
INF.13.A13 Sichere Anbindung von eingeschränkt vertrauenswürdigen Systemen im TGM
Glossar: TGM=Technisches Gebäudemanagement
Link von extern: https://dsz365.de/elementare-gefaehrdungen/#IT-gestuetzte-angriffe