Sind die personellen Zuständigkeiten eindeutig geregelt? | 100 | 100 | NEIN | -100 | Ein Leiter, mehrere agierende Fachkompetenzen |
Finden Netzwerkverbindungen bei Bedarf verschlüsselt statt? | 100 | 100 | JA | 100 | |
Findet eine regelmäßige Überprüfung der Netzwerksicherheit statt? | 100 | 100 | JA | 100 | |
Findet eine regelmäßige, nach Möglichkeit automatische Datensicherung statt? | 100 | 100 | JA | 100 | |
Findet regelmäßig ein Test der Wiederherstellbarkeit der Daten statt? | 100 | 100 | JA | 100 | |
Gibt es ein Konzept zur Datenhaltung und eine Einstufung des jeweiligen Schutzbedarfs? | 100 | 100 | JA | 100 | |
Gibt es eine aktuelle Dokumentation der Netzwerke und Client-Server-Systeme? | 100 | 100 | NEIN | -100 | Rudimentär, nicht geordnet, Bierdeckelsystematik |
Gibt es eine Trennung der fachlichen und der übergreifenden Systemverwaltung? | 100 | 50 | NEIN | -50 | Das Warum, weshalb ist nicht klar, keine Einsicht |
Gibt es einen Notfallplan und wird dieser auch regelmäßig geprobt? | 100 | 50 | JA | 50 | Zu wenige Proben pro Jahr |
Ist der Zutritt zu den Server-Räumen nur für Befugte möglich? | 100 | 100 | JA | 100 | |
Ist die Anzahl der Systemadministratoren sinnvoll beschränkt worden? | 100 | 75 | JA | 75 | Mehrere agierende Fachkompetenzen alle Sysadmin |
Ist die Betriebssystemebene für den normalen Benutzer nicht zugänglich? | 100 | 100 | JA | 100 | |
Sind die Hardware und die Kommunikationsverbindungen redundant ausgelegt und gegen Stromunterbrechung, Überspannung und Blitzschlag geschützt? | 100 | 50 | JA | 50 | Probe auf Ernstfall nicht möglich |
Werden auch die Aktivitäten der Systemverwaltung manipulationssicher protokolliert (wie Systemänderungen, Systemwartungen, Benutzeranlage und -löschung, Änderungen im Privilegiensystem, Zugriffe auf schutzwürdige Dateien und Verzeichnisse)? | 100 | 75 | JA | 75 | Es fehlen div. Informationen und Lücken in der zeitlichen Dokumentation |
Werden auch die Anwendungen zur Datenverarbeitung selbst ins Backup aufgenommen? | 100 | 50 | JA | 50 | Backups liegen direkt neben Server, Bierdeckelsystematik |
Werden auch die lokal auf den Clients gespeicherten Daten gesichert? | 100 | 100 | NEIN | -100 | User sollen wichtige Daten auf Server speichern |
Werden die auf Festplatten und anderen Speichermedien vorgehaltenen Daten verschlüsselt? | 100 | 25 | JA | 25 | Clients Teilweise, Server Nein, Backups Ja |
Werden die Benutzerkonten ausscheidender Mitarbeiter so bald wie möglich gelöscht? | 100 | 25 | JA | 25 | Datenlöschung erfolgt unsystematisch, nicht nach Checkliste, Anstoss seitens Personal nicht verlässlich |
Werden die Berechtigungen nur nach tatsächlichem Bedarf vergeben? | 100 | 25 | NEIN | -25 | Standard User Profil, aber User mit Admin-Rechten, ebenso GF |
Werden die Log-Dateien regelmäßig durch einen Auditor ausgewertet, der nicht gleichzeitig Systemadministrator ist? | 100 | 100 | NEIN | -100 | Log Management nur bei Bedarf |
Werden alle Systemaktivitäten revisions- und manipulationssicher protokolliert? | 100 | 100 | NEIN | -100 | |
Werden die vergebenen Berechtigungen regelmäßig überprüft? | 100 | 25 | JA | 25 | Keine Vorgaben seitens GF, wenn sich User beschwert Rücksetzung auf vorherige Rechte |
Werden geeignete Firewallsysteme eingesetzt und deren Wirksamkeit regelmäßig überprüft? | 100 | 75 | JA | 75 | Zum größten Teil |
Werden für Betriebssysteme und die Anwendungen regelmäßig Updates eingespielt? | 100 | 75 | JA | 75 | Server 100 %, Clients nach Zuruf |
Werden komplexe, starke Passwörter gefordert und erzwungen? | 100 | 50 | JA | 50 | Nicht durchgängig, GF |
Werden Manipulationen am Netzwerk und unbefugte Zugriffsversuche automatisch erkannt und gemeldet? | 100 | 50 | JA | 50 | Nur Optisch, nicht akustisch |
Werden Passwörter generell verschlüsselt übertragen? | 100 | 100 | JA | 100 | |
Wird das Netzwerk gegen unbefugte Zugriffe von außen geschützt? | 100 | 75 | JA | 75 | Ports werden geschützt, Virenschutz verbesserungswürdig, kein Ausschluss von Exe und Zip Dateien |
Wird die Verwendung von Passwörtern erzwungen? | 100 | 100 | NEIN | -100 | |
Wird eine stets aktuelle Anti-Malware-Software für Server und Clients verwendet? | 100 | 100 | JA | 100 | |
Wurden die Datenschutz- und Sicherheitsfunktionen der Server- und Client-Betriebssysteme überprüft? | 100 | 75 | JA | 75 | Verbesserungsbedarf in der Systematik |
Wurden die Server- und Client-Applikationen hinsichtlich ihrer Schutzfunktionalität untersucht? | 100 | 25 | JA | 25 | Nicht durchgängig, GF |
Ergebnis | 3200 | 32 | | 1025 | |