| Das IT-Gesetz: Compliance in der IT-Sicherheit | 4 |
| Leitfaden für ein Regelwerk zur IT-Sicherheit im Unternehmen | 4 |
| Impressum | 5 |
| Vorwort der 2. Auflage | 6 |
| Vorwort der 1. Auflage | 8 |
| Die Autoren | 9 |
| Danksagung | 10 |
| Inhaltsverzeichnis | 11 |
| 1: Einleitung | 15 |
| 1.1 Gesetzliche und regulatorische Vorgaben | 16 |
| 2: Bedeutung der IT-Sicherheit in Unternehmen | 19 |
| 3: COBIT und BSI als Leitschnur der IT-Sicherheit | 26 |
| 4: ‚Grundgesetz‘ der IT-Sicherheit | 32 |
| 4.1 Regelungsziele nach COBIT | 33 |
| 4.1.1 Planung und Organisation | 33 |
| 4.1.2 Monitoring | 36 |
| 4.2 Vorschlag für eine IT-Sicherheitspolicy | 37 |
| 4.2.1 Vorbemerkung und Einführung | 37 |
| 4.2.1.1 Zweck | 37 |
| 4.2.1.2 Gegenstand und Umfang | 38 |
| 4.2.1.3 Verantwortlichkeiten für diese Richtlinie | 38 |
| 4.2.2 Übergeordnete Aspekte | 38 |
| 4.2.2.1 IT-Sicherheitsmanagement | 38 |
| Aufbau, Struktur und Ablauf des IT-Sicherheitsmanagements | 38 |
| 4.2.2.2 Organisation | 39 |
| Zutrittsberechtigungen, Zugangsberechtigungen und Zugriffsrechte | 39 |
| 4.2.2.3 Rollen und Verantwortlichkeitn | 40 |
| Verantwortliche und Rollenbeschreibung | 41 |
| Verantwortlichkeit von Eigentümern (Owner) & Betreuer (Custodian) | 41 |
| Vertraulichkeitsvereinbarung | 42 |
| 4.2.2.4 Continuity-Konzept | 42 |
| Grundlegende Prinzipien | 42 |
| 4.2.2.5 Datensicherungskonzept | 43 |
| Unternehmenskontinuitätsplanung/Aufrechterhaltungsplanung | 43 |
| 4.2.2.6 Datenschutz | 44 |
| 4.2.2.7 Computer-Viren-Schutzkonzept | 44 |
| 4.2.2.8 Kryptokonzept | 44 |
| Systemvertraulichkeit | 44 |
| 4.2.2.9 Behandlung von Sicherheitsvorfällen | 44 |
| Verhalten im Störfall | 44 |
| Systemintegrität | 45 |
| 4.2.2.10 Hard- und Software-Management | 45 |
| Grundlegende Prinzipien | 45 |
| Vereinbarungen mit Dritten, die mit Daten des Unternehmens umgehen | 46 |
| 4.2.2.11 Standardsoftware | 46 |
| Planung und Konzeption | 46 |
| Beschaffung | 47 |
| Umsetzung | 47 |
| Betrieb | 47 |
| Aussonderung | 47 |
| 4.2.2.12 Patch- und Änderungsmanagement | 47 |
| Planung des Patch- und Änderungsmanagement-Prozesses | 47 |
| Festlegung der Verantwortlichkeiten für das Patch- und Änderungsmanagement | 48 |
| Sicherheitsrichtlinie zum Einsatz von Patch- und Änderungsmanagement-Werkzeugen | 48 |
| 4.2.2.13 Outsourcing | 48 |
| 4.2.2.14 Archivierung | 48 |
| 4.2.2.15 IT-Sicherheitssensibilisierung und -schulung | 49 |
| 4.2.3 Infrastruktur | 49 |
| 4.2.3.1 Gebäude | 49 |
| 4.2.3.2 Bauliche Zugangskontrolle | 49 |
| 4.2.3.3 Umgang mit Besuchern | 49 |
| 4.2.3.4 Büroraum | 49 |
| 4.2.3.5 Technische Räume | 50 |
| Server Raum | 50 |
| Computerraum | 50 |
| 4.2.3.6 Mobiler Arbeitsplatz | 50 |
| 4.2.4 IT-Systeme | 51 |
| 4.2.4.1 Allgemeine Regelungen | 51 |
| Sichere Entsorgung von Equipment | 51 |
| 4.2.4.2 User Account-Administration | 51 |
| Erstellung neuer User IDs | 51 |
| Kennwortübergabe | 51 |
| Nutzung für Externe | 51 |
| 4.2.4.3 Kennwort-Management | 52 |
| Kennwortkonventionen | 52 |
| Individuelle Accounts | 52 |
| Entfernung von User-Accounts | 52 |
| Server | 53 |
| 4.2.4.4 Laptop | 53 |
| 4.2.4.5 Clients | 53 |
| 4.2.4.6 Sicherheitsgateway (Firewall) | 53 |
| 4.2.4.7 Verzeichnisdienst | 54 |
| 4.2.4.8 VPN | 54 |
| 4.2.4.9 Router und Switches | 55 |
| 4.2.4.10 Kommunikationseinrichtungen | 55 |
| TK-Anlage | 55 |
| Mobiltelefon | 55 |
| 4.2.5 Netze | 55 |
| 4.2.5.1 Heterogene Netze | 55 |
| 4.2.5.2 Netz- und Systemmanagement | 55 |
| Verletzlichkeitseinstufung | 56 |
| Zugriffs- und Datenflusskontrollsysteme | 56 |
| Herstellung von Netzwerkverbindungen | 56 |
| Ungesicherte Netzwerkverbindungen | 56 |
| Standard-Netzwerk-Sicherheitsmaßnahmen | 57 |
| 4.2.5.3 Modem | 57 |
| 4.2.5.4 Remote Access | 57 |
| LAN-Anbindung eines IT-Systems über ISDN | 58 |
| 4.2.6 IT-Anwendungen | 58 |
| 4.2.6.1 System-/Anwendungsentwicklung und -inbetriebnahme | 58 |
| 4.2.6.2 System Logging | 59 |
| 4.2.6.3 Systemzugriff | 59 |
| 4.2.6.4 Peer-to-Peer-Dienste | 60 |
| Austausch von Informationen und Ressourcen über Peer-to-Peer-Dienste | 60 |
| 4.2.6.5 Datenträgeraustausch | 60 |
| 4.2.6.6 E-Mail | 61 |
| 4.2.6.7 Webserver | 61 |
| 4.2.6.8 Faxserver | 61 |
| 4.2.6.9 Datenbanken | 62 |
| 5: Schutz von Daten | 63 |
| 5.1 Regelungsziele nach COBIT | 64 |
| 5.1.1 Planung und Organisation | 64 |
| 5.1.2 Delivery & Support | 65 |
| 5.1.3 Monitoring | 66 |
| 5.2 Vorschlag für eine Datenschutzrichtlinie | 67 |
| 5.2.1 Geltungsbereich | 67 |
| 5.2.2 Begriffsbestimmung und Eingrenzung | 67 |
| 5.2.3 Ziele des Datenschutzes im Unternehmen | 68 |
| 5.2.4 Verankerung des Datenschutzes in der Organisation | 68 |
| 5.2.4.1 Geschäftsleitung | 68 |
| 5.2.4.2 Datenschutzbeauftragter | 69 |
| 5.2.4.3 Führungskräfte und Fachverantwortliche | 69 |
| 5.2.4.4 Mitarbeiter | 70 |
| 5.2.5 Grundsätze des Datenschutzes | 70 |
| 5.2.5.1 Datenverarbeitung | 70 |
| 5.2.5.2 Datenerhebung | 71 |
| 5.2.5.3 Datenübermittlung | 71 |
| 5.2.5.4 Verpflichtung auf den Datenschutz und das Datengeheimnis | 71 |
| 5.2.5.5 Rechte der Betroffenen | 72 |
| 5.2.5.6 Datenverarbeitung im Auftrag | 72 |
| 5.2.5.7 Sicherheitsmaßnahmen | 72 |
| 5.2.5.8 Einführung, Betrieb und Änderung von Verfahren | 72 |
| 5.3 Vorschlag für eine Richtlinie zum Schutz von Unternehmensdaten | 73 |
| 5.3.1 Datenschutz | 73 |
| 5.3.1.1 Regelung der Verantwortlichkeiten im Bereich Datenschutz | 73 |
| 5.3.1.2 Aspekte eines Datenschutzkonzeptes | 73 |
| 5.3.1.3 Prüfung rechtlicher Rahmenbedingungen und Vorabkontrolle bei der Verarbeitung personenbezogener Daten | 74 |
| 5.3.1.4 Festlegung von technisch-organisatorischen Maßnahmen entsprechend dem Stand der Technik bei der Verarbeitung personenbezogener Daten | 74 |
| 5.3.1.5 Verpflichtung/Unterrichtung der Mitarbeiter bei der Verarbeitung personenbezogener Daten | 75 |
| 5.3.1.6 Organisatorische Verfahren zur Sicherstellung der Rechte der Betroffenen bei der Verarbeitung personenbezogener Daten | 75 |
| 5.3.1.7 Führung von Verfahrensverzeichnissen und Erfüllung der Meldepflichten bei der Verarbeitung personenbezogener Daten | 76 |
| 5.3.1.8 Datenschutzrechtliche Freigabe | 76 |
| 5.3.1.9 Regelung der Auftragsdatenverarbeitung bei der Verarbeitung personenbezogener Daten | 76 |
| 5.3.1.10 Aufrechterhaltung des Datenschutzes im laufenden Betrieb | 76 |
| 5.3.1.11 Datenschutzgerechte Löschung/Vernichtung | 76 |
| 5.3.2 Authentikation | 76 |
| 5.3.2.1 Geeignete Auswahl von Authentikationsmechanismen | 76 |
| 5.3.2.2 Administration der Authentikationsdaten | 77 |
| 5.3.2.3 Schutz der Authentikationsdaten gegen Veränderung | 77 |
| 5.3.2.4 Systemunterstützung | 77 |
| 5.3.2.5 Fehlerbehandlung bei der Authentikation | 77 |
| 5.3.2.6 Administration der Benutzerdaten | 78 |
| 5.3.2.7 Definition der Benutzereinträge | 78 |
| 5.3.2.8 Passwortgüte | 78 |
| 5.3.2.9 Anforderungen an Authentikationsmechanismen für Benutzer | 78 |
| 5.3.2.10 Protokollierung der Authentisierungsmechanismen | 78 |
| 5.3.3 Verschlüsselung | 79 |
| 5.3.3.1 Entwicklung eines Kryptokonzepts | 79 |
| Einsatz von Verschlüsselung, Checksummen oder digitalen Signaturen | 79 |
| Geeignetes Schlüsselmanagement | 80 |
| Schlüsselerzeugung | 80 |
| Schlüsseltrennung | 80 |
| Schlüsselverteilung/Schlüsselaustausch | 80 |
| Schlüsselinstallation und -speicherung | 81 |
| Schlüsselarchivierung | 81 |
| Zugriffs- und Vertreterregelung | 82 |
| Schlüsselvernichtung | 82 |
| 5.3.4 Datensicherung und Archivierung | 82 |
| 5.3.4.1 Verpflichtung der Mitarbeiter zur Datensicherung | 82 |
| 5.3.4.2 Regelung des Datenträgeraustausches | 82 |
| 5.3.4.3 Beschaffung eines geeigneten Datensicherungssystems | 83 |
| 5.3.4.4 Regelmäßige Funktions- und Recoverytests bei der Archivierung | 84 |
| 5.3.4.5 Erstellung eines Datensicherungsplans | 85 |
| 5.3.4.6 Regelung der Vorgehensweise für die Löschung oder Vernichtung von Informationen | 85 |
| Richtlinie für die Löschung und Vernichtung von Informationen | 85 |
| Vernichtung von Datenträgern durch externe Dienstleister | 86 |
| Erstellung von Datensicherungen für Verzeichnisdienste | 86 |
| Datensicherung für Domänen-Controller | 86 |
| 5.4 Hinweise für ein Datensicherungskonzept | 87 |
| 5.4.1 Definitionen | 87 |
| 5.4.2 Gefährdungslage | 87 |
| 5.4.3 Regelungsbedarfe je IT-System | 87 |
| 5.4.3.1 Spezifikation der zu sichernden Daten | 87 |
| 5.4.3.2 Verfügbarkeitsanforderungen | 88 |
| 5.4.3.3 Rekonstruktionsaufwand | 88 |
| 5.4.3.4 Datenvolumen | 88 |
| 5.4.3.5 Änderungsvolumen | 88 |
| 5.4.3.6 Änderungszeitpunkte der Daten | 88 |
| 5.4.3.7 Fristen | 88 |
| 5.4.3.8 Vertraulichkeitsbedarf | 89 |
| 5.4.3.9 Integritätsbedarf der Daten | 89 |
| 5.4.3.10 Häufigkeit des Datenverlustes | 89 |
| 5.4.3.11 Fähigkeiten der IT-Benutzer | 89 |
| 5.4.4 Datensicherungsplan je IT-System | 89 |
| 5.4.4.1 Festlegungen je Datenart | 89 |
| 5.4.4.2 Festlegung je System | 90 |
| 5.4.4.3 Festlegung der Vorgehensweise bei der Datenrestaurierung | 90 |
| 5.4.4.4 Randbedingungen für das Datensicherungsarchiv | 90 |
| 5.4.4.5 Vorhalten von arbeitsfähigen Lesegeräten | 90 |
| 5.4.4.6 Wiederherstellungsplan | 90 |
| 5.4.5 Minimaldatensicherungskonzept | 90 |
| 5.4.6 Verpflichtung der Mitarbeiter zur Datensicherung | 90 |
| 5.4.7 Sporadische Restaurierungsübungen | 91 |
| 6: Sicherheitsmanagement | 92 |
| 6.1 Regelungsziele nach COBIT | 92 |
| 6.1.1 Prozess und Organisation | 93 |
| 6.1.2 Akquisition und Implementierung | 97 |
| 6.1.3 Delivery & Support | 97 |
| 6.1.4 Monitoring | 100 |
| 6.2 Vorschlag für eine Richtlinie zum Sicherheitsmanagement | 101 |
| 6.2.1 Vorbemerkung und Einführung | 102 |
| 6.2.2 Rollen und Verantwortlichkeiten | 103 |
| 6.2.2.1 Verantwortlichkeiten des Managements | 103 |
| Übernahme der Gesamtverantwortung für IT-Sicherheit | 103 |
| IT-Sicherheit integrieren | 103 |
| IT-Sicherheit steuern und aufrecht erhalten | 103 |
| Erreichbare Sicherheitsziele setzen | 104 |
| IT-Sicherheitskosten gegen Nutzen abwägen | 104 |
| Vorbildfunktion | 104 |
| 6.2.2.2 Verantwortlichkeiten des IT-Sicherheitsbeauftragten | 104 |
| 6.2.3 Änderungsmanagement | 105 |
| 6.2.3.1 Abstimmung von Änderungsanforderungen | 105 |
| 6.2.3.2 Konzeption und Organisation des Anforderungsmanagements | 105 |
| 6.2.4 Notfallmanagement | 106 |
| 6.2.4.1 Qualifizieren und Bewerten von Sicherheitsvorfällen | 106 |
| 6.2.4.2 Dokumentation von Sicherheitsvorfällen | 106 |
| 6.2.4.3 Treuhänderische Hinterlegung (Escrow) | 106 |
| 6.2.5 IT-Sicherheitsziele des Unternehmens | 107 |
| 6.2.5.1 Schutz von IT-Anwendungen, Systemen, Räumen und Kommunikation entsprechend dem jeweiligen Schutzbedarf | 107 |
| 6.2.5.2 Schutzbedarfsfeststellung für Vertraulichkeit, Integrität und Verfügbarkeit von schutzrelevanten Daten | 107 |
| 6.2.5.3 Aufrechterhaltung der IT-Sicherheit und kontinuierliche Verbesserung | 107 |
| 6.2.6 IT-Sicherheitskonzept des Unternehmens | 108 |
| 6.2.7 Sicherheitsmanagement-Prozess des Unternehmens | 111 |
| 6.2.8 IT-Strukturanalyse | 111 |
| 6.2.8.1 Dokumentation der Systemkonfiguration | 113 |
| 6.2.8.2 Dokumentation der zugelassenen Benutzer und Rechteprofile | 114 |
| 6.2.9 Schutzbedarfsfeststellung | 114 |
| 6.2.9.1 Analyse der aktuellen Netzsituation | 114 |
| 6.2.9.2 Detaillierte Schutzbedarfsfeststellung | 115 |
| 6.2.9.3 Analyse von Schwachstellen im Netz | 115 |
| 6.2.10 Sicherheitsanalyse und Formulierung zielführender Sicherheitsmaßnahmen | 119 |
| 6.2.11 IT-Sicherheitsreporting an das Management | 120 |
| 6.2.12 Verhaltensweisen zu Sicherheitsvorfällen | 120 |
| 7: IT-Betrieb | 121 |
| 7.1 Regelungsziele nach COBIT | 121 |
| 7.1.1 Planung & Organisation | 122 |
| 7.1.2 Akquisition & Implementierung | 127 |
| 7.1.3 Delivery & Support | 129 |
| 7.1.4 Monitoring | 134 |
| 7.2 Vorschlag für eine Richtlinie zum sicheren IT-Betrieb | 134 |
| 7.2.1 Vorbemerkung und Einführung | 134 |
| 7.2.2 Gebäudesicherheit | 135 |
| 7.2.2.1 Klimatisierung | 135 |
| 7.2.2.2 Lokale und zentrale unterbrechungsfreie Stromversorgung | 136 |
| 7.2.2.3 Brandmeldeanlage | 136 |
| 7.2.2.4 Videoüberwachung | 137 |
| 7.2.2.5 Geeignete Aufstellung von Archivsystemen | 137 |
| 7.2.2.6 Brandschutz von Patchfeldern | 137 |
| 7.2.2.7 Schlüsselverwaltung | 138 |
| 7.2.2.8 Brandschutzbegehungen | 138 |
| 7.2.2.9 Rauchverbot | 139 |
| 7.2.2.10 Beschaffung geeigneter Schutzschränke | 139 |
| 7.2.2.11 Funktionstests der technischen Infrastruktur | 139 |
| 7.2.2.12 Einführung in die Bedrohung durch Schadprogramme | 140 |
| 7.2.3 Organisation und Governance | 140 |
| 7.2.3.1 Festlegung von Verantwortlichkeiten und Regelungen für den IT-Einsatz | 140 |
| 7.2.3.2 Aufgabenverteilung und Funktionstrennung | 141 |
| 7.2.3.3 Ernennung eines Administrators und eines Vertreters | 142 |
| 7.2.3.4 Aufteilung der Administrationstätigkeiten unter Unix | 142 |
| 7.2.3.5 Aufteilung der Administrationstätigkeiten | 142 |
| 7.2.3.6 Einrichtung einer Poststelle | 143 |
| 7.2.3.7 Aufteilung von Administrationstätigkeiten bei Datenbanksystemen | 143 |
| 7.2.3.8 Konzeption des IT-Betriebs | 144 |
| Konventionen für Namens-, Adress- und Nummernräume | 145 |
| 7.2.3.9 Vertretungsregelungen | 146 |
| 7.2.3.10 Vertraulichkeitsvereinbarungen | 146 |
| 7.2.3.11 Auswahl eines vertrauenswürdigen Administrators und Vertreters | 147 |
| 7.2.3.12 Netzverwaltung | 147 |
| 7.2.3.13 Einrichtung eines zusätzlichen Netzadministrators | 147 |
| 7.2.3.14 Umgang mit Änderungsanforderungen | 148 |
| 7.2.3.15 Konfiguration von Autoupdate-Mechanismen beim Patch- und Änderungsmanagement | 148 |
| 7.2.4 Regelungen zu Zutritt, Zugang, Zugriff | 148 |
| 7.2.4.1 Vergabe von Zutrittsberechtigungen | 148 |
| 7.2.4.2 Schutz eines Rechenzentrums gegen unbefugten Zutritt | 149 |
| 7.2.4.3 Vergabe von Zugangsberechtigungen | 149 |
| 7.2.4.4 Vergabe von Zugriffsrechten | 149 |
| 7.2.4.5 Regelung des Passwortgebrauchs | 150 |
| 7.2.4.6 Zutrittsregelung und -kontrolle | 152 |
| 7.2.4.7 Hinterlegen des Passwortes | 152 |
| 7.2.4.8 Regelung für die Einrichtung von Benutzern/Benutzergruppen | 153 |
| 7.2.4.9 Einrichtung einer eingeschränkten Benutzerumgebung | 154 |
| 7.2.4.10 Einrichten der Zugriffsrechte | 154 |
| 7.2.4.11 Kontrolle der Wirksamkeit der Benutzer-Trennung am IT-System | 154 |
| 7.2.4.12 Regelung für die Einrichtung von Datenbankbenutzern/-benutzergruppen | 154 |
| 7.2.4.13 Richtlinien für die Zugriffs- bzw. Zugangskontrolle | 155 |
| 7.2.4.14 Passwortschutz für IT-Systeme | 156 |
| 7.2.4.15 Planung von SAP-Berechtigungen | 156 |
| 7.2.4.16 Absicherung eines SAP-Systems im Portal-Szenario | 157 |
| 7.2.4.17 Zugangsbeschränkungen für Accounts und/oder Terminals | 157 |
| 7.2.4.18 Sicherstellung einer konsistenten Systemverwaltung | 158 |
| 7.2.4.19 Restriktive Vergabe von Zugriffsrechten auf Systemdateien | 158 |
| 7.2.4.20 Restriktive Rechtevergabe | 159 |
| 7.2.4.21 Authentisierung bei Druckern, Kopierern und Multifunktionsgeräten | 159 |
| 7.2.4.22 Informationsschutz bei Druckern, Kopierern und Multifunktionsgeräten | 159 |
| 7.2.5 Hardware- und Softwareeinsatz | 160 |
| 7.2.5.1 Nutzungsverbot nicht freigegebener Hard- und Software | 160 |
| 7.2.5.2 Überprüfung des Hard- und Software-Bestandes | 160 |
| 7.2.5.3 Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln | 161 |
| 7.2.5.4 Planung des Einsatzes eines WLANs | 161 |
| 7.2.5.5 Sicherstellen der Integrität von Standardsoftware | 162 |
| 7.2.5.6 Installation und Konfiguration von Standardsoftware | 162 |
| 7.2.5.7 Lizenzverwaltung und Versionskontrolle von Standardsoftware | 163 |
| 7.2.5.8 Sicheres Löschen von Datenträgern | 163 |
| 7.2.5.9 Überblick über Methoden zur Löschung und Vernichtung von Daten | 163 |
| 7.2.5.10 Beschaffung geeigneter Geräte zur Löschung oder Vernichtung von Daten | 163 |
| 7.2.5.11 Einweisung aller Mitarbeiter über Methoden zur Löschung oder Vernichtung von Daten | 164 |
| 7.2.5.12 Schutz vor unerwünschten Informationsabflüssen | 164 |
| 7.2.5.13 Planung des Servereinsatzes | 164 |
| 7.2.5.14 Planung des Einsatzes von Druckern, Kopierern und Multifunktionsgeräten | 165 |
| 7.2.5.15 Test neuer Hard- und Software | 166 |
| 7.2.5.16 Planung der Administration für Windows Server 2003 | 166 |
| 7.2.5.17 Planung des SAP-Einsatzes | 167 |
| 7.2.5.18 Aussonderung von IT-Systemen | 167 |
| 7.2.6 Sichere technische Infrastruktur | 168 |
| 7.2.6.1 Entwicklung eines Konzepts für Sicherheitsgateways | 168 |
| 7.2.6.2 Festlegung einer Policy für ein Sicherheitsgateway | 169 |
| 7.2.6.3 Integration von Servern in das Sicherheitsgateway | 170 |
| 7.2.6.4 Sicherer Betrieb eines Sicherheitsgateways | 170 |
| 7.2.6.5 Entwicklung eines Netzmanagementkonzeptes | 172 |
| 7.2.6.6 Sicherer Betrieb eines Netzmanagementsystems | 172 |
| 7.2.6.7 Planung der Administration von Verzeichnisdiensten | 173 |
| 7.2.6.8 Planung der Migration von Verzeichnisdiensten | 174 |
| 7.2.6.9 Geregelte Außerbetriebnahme eines Verzeichnisdienstes | 174 |
| 7.2.6.10 Trennung der Verwaltung von Diensten und Daten eines Active Directory | 174 |
| 7.2.6.11 Schulung zur Administration von Verzeichnisdiensten | 174 |
| 7.2.6.12 Sichere Installation von Verzeichnisdiensten | 174 |
| 7.2.6.13 Sicherer Betrieb von Verzeichnisdiensten | 175 |
| 7.2.6.14 Überwachung von Verzeichnisdiensten | 175 |
| 7.2.6.15 Bereitstellung von sicheren Domänen-Controllern | 175 |
| 7.2.6.16 Überwachung der Active Directory-Infrastruktur | 175 |
| 7.2.6.17 Umsetzung sicherer Verwaltungsmethoden für Active Directory | 176 |
| 7.2.6.18 Planung des VPN-Einsatzes | 176 |
| 7.2.6.19 Planung der technischen VPN-Realisierung | 176 |
| 7.2.6.20 Sicherer Betrieb eines VPNs | 177 |
| 7.2.6.21 Sperrung nicht mehr benötigter VPN-Zugänge | 177 |
| 7.2.6.22 Sichere Anbindung eines externen Netzes mit OpenVPN | 177 |
| 7.2.6.23 Sichere Anbindung eines externen Netzes mit IPSec | 178 |
| 7.2.6.24 Installation, Konfiguration und Betreuung eines WLANs durch Dritte | 178 |
| 7.2.6.25 Sicherer Betrieb der WLAN-Komponenten | 179 |
| 7.2.6.26 Entwurf eines NDS-Konzeptes | 180 |
| 7.2.6.27 Anforderungen an ein Systemmanagementsystem | 180 |
| 7.2.6.28 Sicherer Betrieb eines WWW-Servers | 181 |
| 7.2.6.29 Schulung der Administratoren eines Samba-Servers | 182 |
| 7.2.6.30 Sichere Grundkonfiguration eines Samba-Servers | 182 |
| 7.2.6.31 MB Message Signing und Samba | 182 |
| 7.2.6.32 Sicherer Betrieb eines Samba-Servers | 182 |
| 7.2.6.33 Verhinderung ungesicherter Netzzugänge | 182 |
| 7.2.6.34 Zeitnahes Einspielen sicherheitsrelevanter Patches und Updates | 183 |
| 7.2.6.35 Software-Pflege auf Routern und Switches | 184 |
| 7.2.6.36 Sichere Außerbetriebnahme von Routern und Switches | 184 |
| 7.2.6.37 Sicherheitsgateways und Hochverfügbarkeit | 185 |
| 7.2.6.38 Physikalisches Löschen der Datenträger vor und nach Verwendung | 185 |
| 7.2.6.39 Schutz der Integrität der Index-Datenbank von Archivsystemen | 185 |
| 7.2.6.40 Schadensmindernde Kabelführung | 186 |
| 7.2.6.41 Verkabelung in Serverräumen | 186 |
| 7.2.6.42 Deaktivieren nicht benötigter Netzdienste | 186 |
| 7.2.6.43 Sensibilisierung der Mitarbeiter zum sicheren Umgang mit mobilen Datenträgern und Geräten | 186 |
| 7.2.7 Regelmäßige Kontrollmaßnahmen | 187 |
| 7.2.7.1 Kontrolle bestehender Verbindungen | 187 |
| 7.2.7.2 Kontrolle der Protokolldateien | 187 |
| 7.2.7.3 Kontrolle der Protokolldateien eines Datenbanksystems | 188 |
| 7.2.7.4 Regelmäßige Kontrolle von Routern und Switches | 188 |
| 7.2.7.5 Sicherer Betrieb eines Systemmanagementsystems | 189 |
| 7.2.7.6 Regelmäßige Integritätsprüfung | 191 |
| 7.2.7.7 Einsatz eines Protokollierungsservers in einem Sicherheitsgateway | 192 |
| 7.2.7.8 Überwachung und Verwaltung von Speichersystemen | 193 |
| 7.2.7.9 Regelmäßiger Sicherheitscheck des Netzes | 193 |
| 7.2.7.10 Protokollierung am Server | 194 |
| 7.2.7.11 Planung der Systemüberwachung unter Windows Server 2003 | 194 |
| 7.2.7.12 Durchführung von Notfallübungen | 194 |
| 7.2.8 Datensicherung und Archivierung | 195 |
| 7.2.8.1 Geeignete Lagerung von Archivmedien | 195 |
| 7.2.8.2 Verwendung geeigneter Archivmedien | 195 |
| 7.2.8.3 Protokollierung der Archivzugriffe | 196 |
| 7.2.9 Schutz gegen Angriffe | 196 |
| 7.2.9.1 Meldung von Computer-Virus-Infektionen | 196 |
| 7.2.9.2 Aktualisierung der eingesetzten Computer-Viren-Suchprogramme | 197 |
| 7.2.9.3 Regelungen zum Computer-Virenschutz | 197 |
| 7.2.9.4 Vorbeugung gegen Trojanische Pferde | 198 |
| 7.2.9.5 Vermeidung gefährlicher Dateiformate | 199 |
| 7.2.9.6 Intrusion Detection- und Intrusion Response-Systeme | 199 |
| 7.2.10 Dokumentation | 199 |
| 7.2.10.1 Aktuelle Infrastruktur- und Baupläne | 199 |
| 7.2.10.2 Neutrale Dokumentation in den Verteilern | 200 |
| 7.2.10.3 Dokumentation der Systemkonfiguration | 200 |
| 7.2.10.4 Dokumentation der zugelassenen Benutzer und Rechteprofile | 200 |
| 7.2.10.5 Dokumentation der Veränderungen an einem bestehenden System | 201 |
| 7.2.10.6 Bereithalten von Handbüchern | 201 |
| 7.2.10.7 Ist-Aufnahme der aktuellen Netzsituation | 201 |
| 7.2.10.8 Sorgfältige Einstufung und Umgang mit Informationen, Anwendungen und Systemen | 203 |
| 7.2.10.9 Dokumentation der Systemkonfiguration von Routern und Switches | 203 |
| 7.2.10.10 Dokumentation und Kennzeichnung der Verkabelung | 204 |
| 7.2.10.11 Laufende Fortschreibung und Revision der Netzdokumentation | 205 |
| 7.2.10.12 Übersicht über Netzdienste | 205 |
| 7.2.11 Schulung und Training | 205 |
| 7.2.11.1 Betreuung und Beratung von IT-Benutzern | 205 |
| 7.2.11.2 Schulung des Wartungs- und Administrationspersonals | 205 |
| 7.2.11.3 Einweisung der Benutzer in die Bedienung des Archivsystems | 206 |
| 7.2.11.4 Schulung der Administratoren des Sicherheitsgateways | 207 |
| 7.2.12 Ergänzende allgemeine Sicherheitsrichtlinien | 207 |
| 7.2.12.1 Der aufgeräumte Arbeitsplatz | 207 |
| 7.2.12.2 Konzeption der sicheren E-Mail-Nutzung | 207 |
| 7.2.12.3 Regelung für den Einsatz von E-Mail | 208 |
| 7.2.12.4 Bildschirmsperre | 209 |
| 8: IT-Systeme | 210 |
| 8.1 Regelungsziele nach COBIT | 210 |
| 8.1.1 Planung & Organisation | 211 |
| 8.1.2 Akquisition & Implementierung | 213 |
| 8.1.3 Delivery & Support | 216 |
| 8.1.4 Monitoring | 217 |
| 8.2 Vorschlag für eine Richtlinie zu IT-Systemen | 218 |
| 8.2.1 Vorbemerkung und Einführung | 218 |
| 8.2.2 Allgemeine Sicherheitsrichtlinien | 219 |
| 8.2.3 User-Management | 221 |
| 8.2.4 Server | 223 |
| 8.2.5 Client | 225 |
| 8.2.6 Mobile Systeme | 226 |
| 8.2.7 Externer Zugang | 227 |
| 8.2.8 Lotus Notes/Domino | 228 |
| 8.2.9 Webserver | 231 |
| 8.2.10 Novell | 232 |
| 8.2.11 Windows XP | 235 |
| 8.2.12 Windows | 239 |
| 8.2.12.1 Geeignete Auswahl einer Windows-Version | 239 |
| 8.2.12.2 Einsatz von Windows auf mobilen Rechnern | 239 |
| 8.2.12.3 Einführung von Windows Service Pack | 239 |
| 8.2.12.4 Einsatz von BitLocker Drive Encryption | 240 |
| 8.2.12.5 Einsatz von Windows Vista File und Registry Virtualization | 240 |
| 8.2.12.6 Verhindern unautorisierter Nutzung von Wechselmedien unter Windows Vista | 240 |
| 8.2.12.7 Einsatz der Windows Vista-Benutzerkontensteuerung – UAC | 240 |
| 8.2.13 Windows Server 2003 | 240 |
| 8.2.14 Unix | 243 |
| 8.2.15 Aktive Netzwerkkomponenten | 245 |
| 8.2.16 Paketfilter & Proxy | 249 |
| 8.2.17 Datenbanken | 252 |
| 8.2.18 SAP | 253 |
| 8.2.19 Drucker | 256 |
| 8.2.20 Samba | 256 |
| 8.2.20.1 Sichere Konfiguration der Zugriffssteuerung bei einem Samba-Server | 256 |
| 8.2.21 Verzeichnisdienst | 257 |
| 8.2.21.1 Geeignete Auswahl von Komponenten für Verzeichnisdienste | 257 |
| 8.2.21.2 Planung der Partitionierung und Replikation im Verzeichnisdienst | 257 |
| 8.2.21.3 Schutz der Authentisierung beim Einsatz von Active Directory | 258 |
| 8.2.21.4 Sicherer Einsatz von DNS für Active Directory | 258 |
| 8.2.21.5 Computer-Viren-Schutz für Domänen-Controller | 258 |
| 8.2.21.6 Sichere Konfiguration von Verzeichnisdiensten | 258 |
| 8.2.21.7 Einrichtung von Zugriffsberechtigungen auf Verzeichnisdienste | 258 |
| 8.2.21.8 Sichere Richtlinieneinstellungen für Domänen und Domänen-Controller | 259 |
| 8.2.21.9 Aufrechterhaltung der Betriebssicherheit von Active Directory | 259 |
| 8.2.21.10 Absicherung der Kommunikation mit Verzeichnisdiensten | 259 |
| 8.2.22 VPN | 259 |
| 8.2.22.1 Geeignete Auswahl von VPN-Produkten | 259 |
| 8.2.22.2 Sichere Installation von VPN-Endgeräten | 260 |
| 8.2.22.3 Sichere Konfiguration eines VPNs | 260 |
| 8.3 Vertiefende Detailregelungen in Arbeitsanweisungen | 260 |
| 9: Verankerung der IT-Sicherheit in der Organisation | 267 |
| 9.1 Regelungsziele nach COBIT | 267 |
| 9.1.1 Planung und Organisation | 268 |
| 9.1.2 Delivery & Support | 270 |
| 9.2 Vorschlag für eine Richtlinie zur IT-Organisation | 270 |
| 9.2.1 Schulung und Training | 270 |
| 9.2.1.1 Geregelte Einarbeitung/Einweisung neuer Mitarbeiter | 270 |
| 9.2.1.2 Schulung vor Programmnutzung | 271 |
| 9.2.1.3 Schulung zu IT-Sicherheitsmaßnahmen | 271 |
| 9.2.1.4 Einweisung des Personals in den sicheren Umgang mit IT | 271 |
| 9.2.1.5 Regelungen für den Einsatz von Fremdpersonal | 272 |
| 9.2.1.6 Geregelte Verfahrensweise beim Ausscheiden von Mitarbeitern | 272 |
| 9.2.1.7 Beaufsichtigung oder Begleitung von Fremdpersonen | 273 |
| 10: Service-Management | 274 |
| 10.1 Regelungsziele nach COBIT | 274 |
| 10.1.1 Planung und Organisation | 275 |
| 10.1.2 Akquisition und Implementierung | 277 |
| 10.1.3 Delivery & Support | 284 |
| 10.2 Vorschlag für eine Service-Management-Richtlinie | 286 |
| 10.2.1 Vorbemerkung und Einführung | 286 |
| 10.2.1.1 Zweck | 286 |
| 10.2.1.2 Grundlage | 287 |
| 10.2.1.3 Gegenstand und Umfang | 287 |
| 10.2.1.4 Verantwortlichkeiten für diese Richtlinie | 287 |
| 10.2.2 Incident-Management | 287 |
| 10.2.2.1 Anforderungen | 288 |
| 10.2.2.2 Dokumentation | 289 |
| 10.2.2.3 Kommunikation | 289 |
| 10.2.2.4 Major Incidents und Katastrophenfälle | 290 |
| 10.2.2.5 Rollen | 290 |
| 10.2.3 Problem-Management | 290 |
| 10.2.3.1 Anforderungen | 290 |
| 10.2.3.2 Rollen | 291 |
| 10.2.3.3 Problemaufnahme | 292 |
| 10.2.3.4 Known Errors | 292 |
| 10.2.3.5 Problemlösung | 292 |
| 10.2.3.6 Kommunikation | 293 |
| 10.2.3.7 Problemverfolgung und -eskalation | 293 |
| 10.2.3.8 Schließen von Tickets | 293 |
| 10.2.3.9 Problem-Management-Audit | 294 |
| 10.2.3.10 Problemvermeidung | 294 |
| 10.2.4 Change-Management | 295 |
| 10.2.4.1 Anforderungen | 295 |
| 10.2.4.2 Rollen | 297 |
| 10.2.4.3 Kommunikation | 298 |
| 10.2.4.4 Planung und Implementierung | 298 |
| 10.2.4.5 Changemanagement und Projekte | 300 |
| 10.2.4.6 Schließen von Änderungsanträgen | 301 |
| 10.2.4.7 Emergency Changes | 301 |
| 10.2.4.8 Changemanagement-Audit und Berichtswesen | 302 |
| 10.2.5 Release-Management | 303 |
| 10.2.5.1 Anforderungen | 303 |
| 10.2.5.2 Rollen | 304 |
| 10.2.5.3 Kommunikation | 304 |
| 10.2.5.4 Releaseplanung | 305 |
| 10.2.5.5 Releaseerstellung (design, build, configure) | 306 |
| 10.2.5.6 Freigabe | 307 |
| 10.2.5.7 Verteilung und Installation (roll out, distribution, installation) | 307 |
| 10.2.5.8 Dokumentation | 308 |
| 10.2.5.9 Schließen von Release | 309 |
| 10.2.5.10 Emergency Release | 309 |
| 10.2.6 Configuration-Management | 309 |
| 10.2.6.1 Anforderungen | 309 |
| 10.2.6.2 Rollen | 311 |
| 10.2.6.3 Einrichtung des Configuration-Managements | 311 |
| 10.2.6.4 Objekte des Configuration-Managements | 312 |
| 10.2.6.5 Soll-Ist-Abgleich | 316 |
| 10.2.6.6 Configuration-Management-Revision und Berichtswesen | 317 |
| 11: IT Continuity-Planung | 319 |
| 11.1 Regelungsziele nach COBIT | 319 |
| 11.1.1 Planung und Organisation | 320 |
| 11.1.2 Delivery & Support | 320 |
| 11.2 Vorschlag für eine IT Continuity-Richtlinie | 322 |
| 11.2.1 Grundlegende Maßnahmen zur IT Continuity-Planung | 322 |
| 11.2.1.1 Aufbau einer geeigneten Organisationsstruktur für das Notfallmanagement | 322 |
| 11.2.1.2 Erstellung eines Notfallkonzepts | 323 |
| 11.2.1.3 Integration von Notfallmanagement in organisationsweite Abläufe und Prozesse | 323 |
| 11.2.1.4 Tests und Notfallübungen | 323 |
| 11.2.1.5 Überprüfung und Aufrechterhaltung der Notfallmaßnahmen | 324 |
| 11.2.1.6 Dokumentation im Notfallmanagement-Prozess | 324 |
| 11.2.1.7 Überprüfung und Steuerung des Notfallmanagementsystems | 325 |
| 11.2.1.8 Erstellung einer Richtlinie zur Behandlung von Sicherheitsvorfällen | 325 |
| 11.2.1.9 Einrichtung eines Expertenteams für die Behandlung von Sicherheitsvorfällen | 326 |
| 11.2.1.10 Einrichtung einer zentralen Kontaktstelle für die Meldung von Sicherheitsvorfällen | 326 |
| 11.2.1.11 Schulung der Mitarbeiter des Service Desks zur Behandlung von Sicherheitsvorfällen | 326 |
| 11.2.1.12 Wiederherstellung der Betriebsumgebung nach Sicherheitsvorfällen | 327 |
| 11.2.1.13 Notfallplan für den Ausfall eines VPNs | 327 |
| 11.2.2 Ziele der IT Continuity-Planung | 327 |
| 11.2.3 Abgrenzung | 328 |
| 11.2.3.1 Business Continuity-Planung | 328 |
| 11.2.3.2 Krisen-Management | 329 |
| 11.2.3.3 Disaster Recovery-Planung | 329 |
| 11.2.3.4 Business Resumption-Planung | 329 |
| 11.2.4 Gegenstand dieser Richtlinie | 329 |
| 11.2.4.1 Kriterien der Planung | 329 |
| 11.2.4.2 Zweck und Ziel | 330 |
| 11.2.4.3 Voraussetzungen | 330 |
| 11.2.5 Planung der IT Continuity | 331 |
| 11.2.5.1 Verantwortlichkeit | 331 |
| 11.2.5.2 Review | 331 |
| 11.2.5.3 Maintenance | 331 |
| 11.2.5.4 Verteilung | 331 |
| 11.2.6 Contingency-Management | 332 |
| 11.2.7 Prozesse der IT Continuity | 332 |
| 11.2.7.1 IT Continuity-Planungsprozess | 332 |
| 11.2.7.2 IT Continuity Change-Prozess | 332 |
| 11.2.7.3 IT Continuity Review-Prozess | 333 |
| 11.2.7.4 IT Continuity Trainings- und Verifikationsprozess | 333 |
| 11.2.7.5 IT Continuity-Wiederherstellungsprozess (Disaster Recovery) | 333 |
| 11.2.8 Organisation der IT Continuity | 333 |
| 11.2.8.1 Disaster Recovery Management-Team | 333 |
| 11.2.8.2 Disaster Recovery Action-Team | 334 |
| 11.2.8.3 Application Recovery-Teams | 334 |
| 11.2.9 Umgebungswiederherstellung | 335 |
| 11.2.9.1 Wiederherstellung von Standorten | 335 |
| 11.2.9.2 Wiederherstellung der Netzwerke | 336 |
| 11.2.9.3 Wiederherstellung der Hardware | 336 |
| 11.2.9.4 Wiederherstellung der Software | 337 |
| 11.2.9.5 Wiederherstellung von Applikationsdaten | 338 |
| 11.2.9.6 Wiederherstellung der Monitoring-Plattformen | 339 |
| 11.2.10 Funktionale Wiederherstellung | 339 |
| 11.2.10.1 Business Resumption Plans | 339 |
| 11.2.10.2 Daten-Synchronisation – Backlog Processing | 339 |
| 11.2.10.3 Wiederaufnahme der Geschäftsfunktionen | 339 |
| 11.2.10.4 Verlegung zum Übergangsstandort | 339 |
| 11.2.10.5 Rückverlegung zum Heimatstandort | 340 |
| Stichwortverzeichnis | 342 |
