Zusammenfassung

Bei diesem Dokument handelt es sich um einen Versuch der Umsetzung der Vorgaben der NIS2-Richtlinie der Europäischen Union. Es ist ein erster Entwurf zur Vorbereitung in Organisationen, die NIS2 umzusetzen haben.

Das Dokument wird aktualisiert werden, wenn der deutsche Gesetzgeber die nationalen Umsetzungsvorschriften veröffentlicht bzw. die Gesetze verabschiedet wurden.

Version

Version 1.1 – 17.10.2025

Markdown-Version

Die Markdown-Version kannst du hier herunterladen.

Eine Word-Version kannst du hier herunterladen.

Anwendungshinweise

Lies das Dokument sorgfältig durch und passe es an die Erfordernisse des Unternehmens an.

Dem Dokument liegt die Umsetzung der NIS2-Vorgaben in einem Unternehmen zugrunde. Für die Verwendung in öffentlichen Stellen ist das „Wording“ entsprechend anzupassen.

Änderungen

17.10.2025: Nummerierungsfehler beseitigt

Nutzungsrechte

Für die Verwendung des Musters gelten diese Regeln zur Nutzung: https://www.datenschutz-guru.de/nutzungsrechte-muster/

===== Muster =====

Cybersicherheitshandbuch

Zur Umsetzung der NIS2-Richtlinie (EU) 2022/2555

Inhaltsverzeichnis

1. Einleitung

1.1 Zweck des Handbuchs

Dieses Cybersicherheitshandbuch dient der Umsetzung der Vorgaben der NIS2-Richtlinie (EU) 2022/2555 der Europäischen Union. Es enthält verbindliche Richtlinien und Vorgaben zur Gewährleistung der Sicherheit von Netzwerk- und Informationssystemen in unserem Unternehmen.

1.2 Geltungsbereich

Dieses Handbuch gilt für alle Beschäftigten, Führungskräfte, Geschäftsleitung sowie für relevante Lieferanten und Dienstleister unseres Unternehmens.

1.3 Aktualisierung

Das Cybersicherheitshandbuch wird mindestens jährlich oder bei wesentlichen Vorfällen oder signifikanten betrieblichen Änderungen oder Risiken überprüft und bei Bedarf aktualisiert.

1.4 Sanktionen

Die in diesem Cybersicherheitshandbuch enthaltenen Pflichten sind von allen Beschäftigten einzuhalten, sofern die Pflicht nicht jeweils auf einen bestimmten Personenkreis begrenzt ist.

Ein Verstoß gegen die Pflichten in diesem Cybersicherheitshandbuch kann eine arbeitsvertragliche Pflichtverletzung darstellen und entsprechend sanktioniert werden.

2. Leitlinie zur Sicherheit von Netz- und Informationssystemen

2.1 Einleitung

Die Sicherheit von Netz- und Informationssystemen ist eine strategische Voraussetzung für die Aufrechterhaltung zentraler Geschäftsprozesse, den Schutz sensibler Daten und die Einhaltung regulatorischer Anforderungen – insbesondere im Rahmen der NIS2-Richtlinie. Diese Leitlinie legt die übergeordneten Ziele, Prinzipien und organisatorischen Grundsätze für das Sicherheitsmanagement im Unternehmen fest. Sie bildet das Fundament für alle darauf aufbauenden Sicherheitsrichtlinien, Prozesse und Maßnahmen.

2.2 Zielsetzung

Diese Richtlinie verfolgt das Ziel, die Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit aller Netz- und Informationssysteme systematisch zu schützen. Zu diesem Zweck werden einheitliche Mindestanforderungen und Verantwortlichkeiten definiert, die auf alle Systeme, Dienste, Standorte und Beteiligten anwendbar sind.

Ziel ist es, ein effektives und nachweisbares Informationssicherheitsniveau zu gewährleisten, das den Anforderungen der NIS2-Richtlinie.

2.3 Geltungsbereich

Diese Leitlinie gilt für:

alle Geschäftsbereiche und Abteilungen,
alle IT- und OT-Systeme, Netzwerke, Plattformen und Anwendungen,
alle internen Beschäftigten sowie Dritte mit Zugriff auf Netz- oder Informationssysteme,
sämtliche Standorte, einschließlich Homeoffice- und Remote-Arbeitsplätzen,
sowohl intern betriebene als auch ausgelagerte Dienste (z. B. Cloud Services, externe Rechenzentren).

2.4 Leitprinzipien

Das Unternehmen verpflichtet sich zur Einhaltung der folgenden Sicherheitsprinzipien:

„Security by Design & by Default”: Sicherheitsanforderungen werden frühzeitig in Planung, Entwicklung und Betrieb integriert.
Risikobasierter Ansatz: Sicherheitsmaßnahmen orientieren sich am Schutzbedarf und den ermittelten Risiken.
Minimierung von Angriffsflächen: Durch technische Härtung, Zugriffsbeschränkungen und Segmentierung.
Verhältnisprävention – Detektion – Reaktion: Schutzmaßnahmen, Überwachung und Vorfallmanagement greifen ineinander.
Kontinuierliche Verbesserung: Sicherheitsmaßnahmen und Richtlinien werden regelmäßig überprüft und angepasst.

2.5 Aufbauorganisation und Verantwortlichkeiten

2.5.1 Organisationsstruktur für die Cybersicherheit

Die Geschäftsleitung:

Trägt die Gesamtverantwortung für die Informationssicherheit
Genehmigt die Sicherheitsrichtlinien und stellt angemessene Ressourcen bereit
Erhält regelmäßige Berichte zum Status der Informationssicherheit

Chief Information Security Officer (CISO):

Berichtet direkt an die Geschäftsleitung
Verantwortet die Entwicklung und Umsetzung der Informationssicherheitsstrategie
Koordiniert alle Aktivitäten im Bereich Cybersicherheit
Überwacht die Einhaltung der Sicherheitsrichtlinien

IT-Sicherheitsteam (IST):

Setzt Sicherheitsmaßnahmen technisch um
Führt regelmäßige Sicherheitsüberprüfungen durch
Reagiert auf Sicherheitsvorfälle

Abteilungsleiter:

Sind verantwortlich für die Einhaltung der Sicherheitsrichtlinien in ihren Abteilungen
Nominieren Sicherheitsbeauftragte für ihre Abteilungen

Sicherheitsbeauftragte der Abteilungen:

Dienen als Ansprechpartner für Sicherheitsfragen in ihrer Abteilung
Unterstützen bei der Implementierung von Sicherheitsmaßnahmen

Alle Beschäftigten:

Sind verpflichtet, die Leitlinie und die Richtlinien dieses Cybersicherheitshandbuchs einzuhalten
Müssen Sicherheitsvorfälle und -bedenken melden

2.6 Überwachung und Bewertung

Die Einhaltung dieser Leitlinie und der Richtlinien dieses Cybersicherheitshandbuchs wird überwacht durch:

regelmäßige interne und externe Audits,
Schwachstellenbewertungen und Penetrationstests,
Management-Reviews und KPI-Reports,
Rückmeldungen aus Vorfallanalysen und Lessons-Learned-Prozessen.

Ergebnisse fließen in den kontinuierlichen Verbesserungsprozess der Cybersicherheit im Unternehmen ein.

2.7 Schulung und Kommunikation

Diese Richtlinie wird allen Mitarbeitenden zugänglich gemacht. Die Kenntnisnahme ist verpflichtend. Neue Mitarbeitende erhalten eine Schulung bei Arbeitsantritt, bestehende werden jährlich über Änderungen informiert.

2.8 Revision und Aktualisierung

Diese Leitlinie und alle Richtlinien in diesem Cybersicherheitshandbuch werden jährlich überprüft und bei Bedarf – z. B. durch Vorfälle, Systemveränderungen oder neue gesetzliche Vorgaben – angepasst. Sie ist bindend für alle Beschäftigten.

3. Risikomanagement-Richtlinie

3.1 Einleitung

Ein systematisches und dokumentiertes Management von Cybersicherheitsrisiken bildet die Grundlage für alle weiteren Schutzmaßnahmen im Unternehmen. Diese Richtlinie beschreibt, wie Risiken im Zusammenhang mit Netz- und Informationssystemen identifiziert, bewertet, behandelt, überwacht und dokumentiert werden. Sie orientiert sich an den Anforderungen der NIS2-Richtlinie und den bewährten Verfahren aus ISO/IEC 27005 und ISO/IEC 31000.

3.2 Zielsetzung

Ziel dieser Richtlinie ist es, das Unternehmen in die Lage zu versetzen, Cybersicherheitsrisiken frühzeitig zu erkennen, angemessen zu bewerten und geeignete Maßnahmen zur Minderung zu treffen. Dabei soll ein gleichbleibend hohes Sicherheitsniveau erreicht werden – unabhängig von Veränderungen in der Bedrohungslage, der Technik oder den Geschäftsprozessen.

3.3 Geltungsbereich

Die Richtlinie gilt für sämtliche Geschäftsbereiche, Systeme, Dienstleistungen und physischen wie digitalen Vermögenswerte, die für die Funktionsfähigkeit und Sicherheit des Unternehmens relevant sind.

3.4 Grundprinzipien des Risikomanagements

Das Risikomanagement beruht auf den folgenden Grundsätzen:

Risikobasierter Ansatz: Sicherheitsmaßnahmen orientieren sich am ermittelten Risiko und dessen geschäftlicher Relevanz.
Zyklischer Prozess: Risikoanalysen werden regelmäßig sowie bei wesentlichen Veränderungen durchgeführt (Systemeinführung, Vorfälle, Gesetzesänderungen).
Ganzheitliche Betrachtung: Technische, organisatorische, menschliche und physische Risiken werden gleichwertig berücksichtigt.
Dokumentation und Nachvollziehbarkeit: Jede Risikobewertung und -entscheidung ist nachvollziehbar zu dokumentieren.

3.5 Rollen und Verantwortlichkeiten

Das IST koordiniert den gesamten Risikomanagementprozess.
Die Fachbereiche identifizieren Risiken in ihren Zuständigkeitsbereichen und bewerten deren Auswirkungen.
Die Geschäftsführung genehmigt die übergeordneten Risiken sowie die Strategie zur Risikobehandlung.
Externe Auditoren oder Berater können zur Validierung von Bewertungen hinzugezogen werden.

3.6 Prozessschritte des Risikomanagements

3.6.1 Risikoidentifikation

Es werden systematisch Bedrohungen (z. B. Cyberangriffe, Fehlkonfigurationen, Ausfälle) und Schwachstellen (z. B. veraltete Systeme, unklare Zuständigkeiten) identifiziert, die sich auf Systeme, Daten oder Prozesse auswirken können.

3.6.2 Risikobewertung

Jedes Risiko wird anhand der Kriterien Eintrittswahrscheinlichkeit und Schadensausmaß bewertet. Die Bewertung erfolgt anhand eines standardisierten Bewertungsrasters (z. B. 5×5-Matrix), das qualitative und quantitative Aspekte kombiniert.

3.6.3 Risikobehandlung

Für jedes Risiko wird entschieden, ob es:

vermieden (z. B. durch Nichtaufnahme),
reduziert (z. B. durch technische oder organisatorische Maßnahmen),
übertragen (z. B. durch Versicherungen) oder
akzeptiert werden kann.

Diese Entscheidungen sind zu begründen und zu dokumentieren. Akzeptierte Restrisiken werden durch die Geschäftsführung freigegeben.

3.6.4 Überwachung und Review

Risiken, deren Eintritt oder Auswirkung sich verändert, werden regelmäßig überprüft. Mindestens jährlich findet ein strukturierter Risiko-Review statt. Neue Risiken (z. B. durch Vorfälle, neue Technologien, Gesetzesänderungen) werden sofort bewertet.

3.7 Werkzeuge und Dokumentation

Der Risikomanagementprozess wird unterstützt durch:

eine zentrale Risiko- und Maßnahmen-Datenbank,
standardisierte Templates (z. B. Risikoanalysebogen, Maßnahmenpläne),
ein Klassifizierungsschema für Schutzbedarf (z. B. niedrig, mittel, hoch),
Versionierung und Aufbewahrung aller Bewertungen über einen Zeitraum von mindestens fünf Jahren.

3.8 Schulung und Sensibilisierung

Alle mit der Risikoidentifikation, -bewertung oder -behandlung betrauten Personen werden regelmäßig geschult. Inhalte umfassen Methoden zur Bewertung, Priorisierung und Entscheidungsfindung sowie den Umgang mit Restrisiken.

3.9 Audit und Überprüfung

Die Einhaltung dieser Richtlinie wird durch interne Audits regelmäßig überprüft. Dabei wird insbesondere kontrolliert:

ob alle Systeme und Prozesse einem Risikoassessment unterzogen wurden,
ob Maßnahmen fristgerecht umgesetzt wurden,
ob Dokumentation vollständig und nachvollziehbar ist.

4. Richtlinie zur Sicherheit von Netz- und Informationssystemen

4.1 Zweck und Geltungsbereich

Diese Richtlinie legt die strategischen Grundsätze und organisatorischen Vorgaben zur Sicherstellung der Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität von Netz- und Informationssystemen fest. Sie dient der Umsetzung der NIS2-Richtlinie.

Der Geltungsbereich umfasst alle IT-Systeme, Netzwerke, Anwendungen, Datenverarbeitungseinheiten und unterstützenden Einrichtungen des Unternehmens sowie alle Mitarbeitenden, Dienstleister und externen Partner, die Zugriff auf diese Systeme haben.

4.2 Sicherheitsziele

Schutz der Systeme vor physischen und digitalen Bedrohungen
Verhinderung unbefugter Zugriffe
Sicherstellung der Betriebsfähigkeit kritischer Dienste
Schutz sensibler und personenbezogener Daten
Einhaltung gesetzlicher und vertraglicher Verpflichtungen
Stärkung der Resilienz gegenüber Störungen und Cybervorfällen

4.3 Verpflichtung zur kontinuierlichen Verbesserung

Das Management verpflichtet sich zur fortlaufenden Verbesserung der Informationssicherheit, zur Bereitstellung erforderlicher Ressourcen (Personal, Budget, Tools) sowie zur regelmäßigen Überprüfung und Anpassung dieser Richtlinie.

4.4 Rollen und Zuständigkeiten

Rolle	Verantwortung
Geschäftsführun	Strategische Steuerung, Ressourcenfreigabe, Genehmigung dieser Richtlinie
CISO / IT-Leitung	Umsetzung, Überwachung, Berichterstattung an Geschäftsführung
Alle Mitarbeitenden	Einhaltung der Richtlinie, Teilnahme an Schulungen
Dienstleister	Vertragliche Verpflichtung zur Einhaltung dieser Richtlinie

4.5 Maßnahmen

Diese Richtlinie wird ergänzt durch folgende spezifische Richtlinien:

Zugangskontrollrichtlinie
Richtlinie zur Behandlung von Sicherheitsvorfällen
Backup- und Wiederherstellungsrichtlinie
Richtlinie zur Sicherheit in der Lieferkette
Netzwerksicherheitsrichtlinie
Richtlinie zum Patch-Management
Richtlinie für sichere Konfigurationen
Richtlinie zur Mitarbeitersensibilisierung

4.6 Überwachung und Kennzahlen

Zur Überprüfung der Umsetzung werden unter anderem folgende Metriken regelmäßig erfasst:

Anzahl und Schwere von Vorfällen
Zeit bis zur Behebung von Schwachstellen
Einhaltung der Patch-Zeiten
Ergebnisse interner und externer Audits

Ein Management Review findet mindestens einmal jährlich statt.

4.7 Revision und Ausnahmeverfahren

Die Richtlinie wird jährlich oder nach wesentlichen Vorfällen aktualisiert. Ausnahmen bedürfen einer formellen Genehmigung durch den CISO und werden dokumentiert.

5. Richtlinie zur Behandlung von Sicherheitsvorfällen

5.1 Einleitung

Unser Unternehmen betrachtet die Fähigkeit zur frühzeitigen Erkennung, angemessenen Reaktion und systematischen Nachbereitung von Sicherheitsvorfällen als zentralen Bestandteil ihrer Cybersicherheitsstrategie. Diese Richtlinie beschreibt das organisatorische und technische Vorgehen zur strukturierten Behandlung von Vorfällen, die die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen, Systemen oder Diensten beeinträchtigen könnten.

5.2 Zielsetzung

Ziel der Richtlinie ist es, durch definierte Prozesse eine schnelle und wirksame Reaktion auf IT-Sicherheitsvorfälle sicherzustellen. Sie schafft Klarheit über Zuständigkeiten, Kommunikationswege und Maßnahmen zur Eindämmung und Wiederherstellung. Darüber hinaus fördert sie eine lernende Sicherheitskultur durch systematische Nachbereitung und kontinuierliche Verbesserung.

5.3 Definition und Kategorisierung von Sicherheitsvorfällen

Ein Sicherheitsvorfall ist jedes beobachtete Ereignis, das auf eine Schwächung der Sicherheitsmaßnahmen oder einen tatsächlichen Angriff hinweist. Dazu zählen unter anderem:

unbefugter Zugriff auf Systeme oder Daten (z. B. durch Hacker oder ehemalige Mitarbeitende),
Datenverlust oder -veränderung durch Malware oder menschliches Fehlverhalten,
Denial-of-Service-Angriffe,
Kompromittierung von Passwörtern oder Authentifizierungsmechanismen,
Verletzungen physischer oder digitaler Zutrittskontrollen,
fehlerhafte Konfigurationen oder Patches mit sicherheitsrelevanten Auswirkungen.

Zur besseren Steuerung und Priorisierung werden Vorfälle in Kategorien eingeteilt. Diese orientieren sich an Kriterien wie Auswirkungen auf den Geschäftsbetrieb, Sensibilität der betroffenen Daten, betroffene Systeme, mögliche Reaktionszeit und rechtliche Meldepflichten.

5.4 Rollen und Verantwortlichkeiten

Die Verantwortung für das Management von Sicherheitsvorfällen liegt beim Information Security Incident Response Team (ISIRT), das unter der Leitung des Chief Information Security Officers (CISO) agiert.

Jede Person im Unternehmen ist verpflichtet, potenzielle oder bestätigte Vorfälle unverzüglich zu melden. Dies kann über ein zentrales Meldetool, per E-Mail an das ISIRT (hier E-Mail-Adresse einfügen) oder telefonisch erfolgen. Die Mitglieder des ISIRT übernehmen die Koordination der Erstmaßnahmen und informieren bei Bedarf externe Stellen wie CERTs oder Aufsichtsbehörden.

Für bestimmte Szenarien werden Vorfallverantwortliche benannt (z. B. für Datenschutz, Betriebsunterbrechung oder Kommunikation), die in enger Abstimmung mit dem ISIRT handeln.

5.5 Phasen der Vorfallbehandlung

5.5.1 Erkennung und Meldung

Die frühzeitige Erkennung von Vorfällen ist essenziell. Diese erfolgt automatisiert über Monitoring-Systeme sowie manuell durch die Aufmerksamkeit der Mitarbeitenden. Alle Vorfälle sind sofort zu melden – auch bei Verdachtsmomenten.

5.5.2 Analyse und Klassifikation

Das ISIRT bewertet eingehende Meldungen hinsichtlich Art, Ursache, Umfang und Kritikalität. Dazu werden u. a. Logdateien, forensische Daten und Systeminformationen ausgewertet. Die Vorfälle werden priorisiert und einer von vier Dringlichkeitsstufen zugewiesen.

5.5.3 Eindämmung und Beseitigung

Ziel ist die Verhinderung weiterer Schäden. Technische Maßnahmen (z. B. Netztrennung, Passwortreset, Systemstilllegung) werden durch das ISIRT koordiniert. Danach erfolgt die vollständige Beseitigung der Ursache, z. B. durch Patch-Management, Deaktivierung von Malware oder Re-Image betroffener Systeme.

5.5.4 Wiederherstellung

Im Rahmen der Wiederherstellung werden betroffene Systeme auf Basis der Backup- und Wiederherstellungsrichtlinie in den definierten Betriebszustand überführt. Die Integrität und Sicherheit werden vor der Freigabe validiert.

5.5.5 Dokumentation und Berichterstattung

Jeder Vorfall wird vollständig dokumentiert. Die Berichtspflichten umfassen interne Führungskräfte, ggf. das interne Datenschutzteam (DST), Datenschutzbeauftragten (DSB) oder die nationale NIS2-Kontaktstelle. Das Meldewesen berücksichtigt gesetzliche Fristen, insbesondere die 72-Stunden-Regel bei Datenschutzverletzungen.

5.5.6 Nachbereitung und Lessons Learned

Innerhalb von zwei Wochen nach Behebung des Vorfalls erfolgt eine strukturierte Nachbereitung. Dabei werden Ursachenanalysen, Verbesserungspotenziale und konkrete Maßnahmen (technisch und organisatorisch) dokumentiert. Erkenntnisse fließen in das Schulungskonzept sowie in Richtlinienaktualisierungen ein.

5.6 Kommunikation

Die interne und externe Kommunikation während und nach Sicherheitsvorfällen erfolgt gemäß einem festgelegten Kommunikationsplan. Ziel ist eine klare, zeitgerechte und sachgerechte Information relevanter Stakeholder – ohne Panik zu erzeugen oder Rechtsrisiken einzugehen.

Der Kommunikationsplan enthält:

Benennung eines Sprechers (i. d. R. Geschäftsführung oder CISO),
Szenarien für interne Eskalation und externe Meldung,
vorformulierte Templates für Standardmeldungen (z. B. an Kunden, Behörden),
einheitliche Kanäle (E-Mail, Presse, Social Media, Website).

5.7 Schulung und Sensibilisierung

Alle Mitarbeitenden werden regelmäßig für das Erkennen und Melden von Sicherheitsvorfällen geschult. Neue Mitarbeitende erhalten eine entsprechende Einweisung im Rahmen der Onboarding-Prozesse. Mindestens einmal jährlich wird eine Incident-Simulation (z. B. Phishing-Test, IT-Störung) durchgeführt.

6. Richtlinie für Geschäftskontinuität und Krisenmanagement

6.1 Einleitung

Die Aufrechterhaltung der Geschäftskontinuität auch im Fall schwerwiegender IT-Störungen oder Cyberangriffe ist ein zentrales Ziel der Sicherheitsstrategie jeder kritischen Einrichtung. Diese Richtlinie beschreibt die organisatorischen und technischen Maßnahmen zur Vorbereitung auf Notfälle, zur Reaktion auf Krisenlagen und zur Wiederaufnahme kritischer Prozesse. Sie ergänzt bestehende Notfall- und Wiederherstellungspläne.

6.2 Zielsetzung

Die Zielsetzung dieser Richtlinie:

Schutz und Fortführung geschäftskritischer Prozesse bei Ausfällen, Angriffen oder anderen Sicherheitsereignissen.
Minimierung der Auswirkungen auf Kunden, Partner, Regulierungsanforderungen und Reputation.
Etablierung eines strukturierten Vorgehens für Krisenmanagement, Kommunikation und Wiederanlauf (Recovery).

6.3 Definitionen

Geschäftskontinuität (Business Continuity): Fähigkeit, definierte Geschäftsprozesse aufrechtzuerhalten oder zeitnah wiederherzustellen.
Krise: Ereignis mit schwerwiegenden Auswirkungen auf das Unternehmen, IT oder Kunden, das koordinierte Maßnahmen und Kommunikation erfordert.
Notfall: Ereignis, das unmittelbare Betriebsunterbrechungen verursacht (z. B. Serverausfall, Ransomware, Stromausfall).

6.4 Verantwortlichkeiten

Die Geschäftsführung trägt die Gesamtverantwortung für Business Continuity.

Ein Business Continuity Manager (BCM) koordiniert den Aufbau, die Pflege und die Tests des Notfallmanagementsystems.

Krisenteams werden vordefiniert und bei Bedarf aktiviert. Sie bestehen aus Fachbereichsverantwortlichen, IT, Kommunikation und ggf. Recht/Compliance.

Jeder Bereich benennt eine/n Kontinuitätsverantwortliche/n, der/die Notfallpläne mitgestaltet und aktuell hält.

6.5 Geschäftsfortführungsstrategie

Das Unternehmen identifiziert regelmäßig:

kritische Geschäftsprozesse,
Abhängigkeiten von Systemen, Personen, Dienstleistern,
Recovery Time Objectives (RTO) – maximale Unterbrechungsdauer,
Recovery Point Objectives (RPO) – akzeptabler Datenverlustzeitpunkt.

Darauf aufbauend wird eine Geschäftsfortführungsstrategie entwickelt, die alternative Arbeitsweisen, Standortverlagerungen und Ressourcenverfügbarkeit berücksichtigt.

6.6 Krisenmanagement

Ein strukturiertes Krisenmanagement gewährleistet die schnelle Entscheidungsfindung und Koordination im Ernstfall. Dazu gehören:

ein Krisenreaktionshandbuch mit Rollen, Eskalationsstufen und Meldeketten,
die Bildung eines Krisenstabs innerhalb kürzester Zeit nach Eskalation,
Einrichtung eines zentralen Krisenkommunikationskanals (z. B. dediziertes Telefonkonferenzsystem, Notfall-Messenger),
standardisierte Krisenkommunikationsvorlagen für interne/externe Ansprechpartner,
psychologische Unterstützung für Betroffene bei Bedarf.

6.7 Dokumentation und Notfallpläne

Für alle kritischen Geschäftsprozesse und Systeme werden folgende Notfallunterlagen gepflegt:

Notfallhandbuch: zentrale Übersicht aller Krisen- und Recovery-Prozesse,
Business Impact Analysis (BIA): Bewertung der kritischen Abläufe und möglichen Schäden,
Wiederanlaufpläne: technische und organisatorische Anleitungen für Reaktivierung,
Kontaktdatenliste: interne Ansprechpartner, Dienstleister, Behörden.

Diese Unterlagen sind in gedruckter sowie digitaler Form verfügbar und werden mindestens jährlich aktualisiert.

6.8 Tests und Übungen

Die Wirksamkeit der Business-Continuity-Maßnahmen wird regelmäßig überprüft durch:

dokumentierte Tests der Notfallverfahren (mindestens einmal jährlich),
szenariobasierte Krisenübungen mit Krisenteams und Entscheidungsträgern,
Überprüfung der Backup- und Wiederanlaufzeiten,
Lessons Learned Workshops nach Tests und realen Vorfällen.

Ergebnisse der Übungen fließen in die Verbesserung der Maßnahmen ein und werden dem Management berichtet.

6.9 Schulung und Awareness

Alle relevanten Mitarbeitenden werden in den Notfallprozessen geschult. Neue Mitarbeitende erhalten beim Eintritt eine Einführung in relevante Verfahren. Krisenteams und Verantwortliche nehmen an vertieften Schulungen und Übungen teil.

7. Backup- und Wiederherstellungsrichtlinie

7.1 Einleitung

Die Fähigkeit, geschäftskritische Daten und Systeme im Falle von Ausfällen, Vorfällen oder Cyberangriffen rasch und zuverlässig wiederherzustellen, ist ein wesentliches Element jeder Resilienzstrategie. Diese Richtlinie legt verbindliche Vorgaben für die Durchführung, Sicherung, Überwachung und Wiederherstellung von Datensicherungen („Backups”) fest. Ziel ist es, die Verfügbarkeit, Integrität und Vertraulichkeit von Informationen sowie die Fortführung zentraler Geschäftsprozesse sicherzustellen.

7.2 Zielsetzung

Diese Richtlinie verfolgt das Ziel, die Auswirkungen potenzieller Datenverluste zu minimieren, systematische und automatisierte Backup-Verfahren zu etablieren und eine schnelle Wiederherstellung in Notfallsituationen zu gewährleisten. Die Maßnahmen zielen darauf ab, die gesetzlichen, vertraglichen und regulatorischen Anforderungen an Informationssicherheit und Geschäftskontinuität zu erfüllen.

7.3 Grundsätze der Datensicherung

Die Datensicherung erfolgt systematisch, regelmäßig und automatisiert nach dem Prinzip der 3-2-1-Regel: Es werden mindestens drei Kopien von Daten auf zwei unterschiedlichen Speichermedien, davon mindestens eine Kopie an einem physisch getrennten Ort aufbewahrt. Für besonders kritische Daten erfolgt zusätzlich eine Offline-Sicherung (z. B. auf nicht dauerhaft verbundenen Speichermedien).

Alle Sicherungsvorgänge sind dokumentiert, verschlüsselt und gegen unbefugten Zugriff geschützt. Die Wiederherstellbarkeit wird regelmäßig getestet und verifiziert.

7.4 Backup-Klassifizierung und Häufigkeit

Die Häufigkeit der Backups richtet sich nach der Kritikalität der Systeme und Daten:

Hochkritische Systeme (z. B. Kundendatenbanken, ERP, Finanzbuchhaltung): tägliche inkrementelle Sicherung, wöchentliche Vollsicherung.
Systeme mittlerer Kritikalität: wöchentliche Sicherung.
Niedrigkritische Systeme: mindestens monatliche Sicherung oder bei relevanten Änderungen.

Für Systeme mit hohen Transaktionsraten kann zusätzlich eine kontinuierliche Datenspiegelung (sog. „Near Real-Time Replication”) vorgesehen werden.

7.5 Backup-Verfahren und -Technologien

Alle Backup-Prozesse erfolgen über zentral verwaltete Backup-Softwarelösungen, die Zugriffsrechte kontrollieren und eine automatisierte Erfolgskontrolle gewährleisten. Die Sicherungsdaten werden standardmäßig verschlüsselt abgelegt, wobei anerkannte kryptographische Verfahren (z. B. AES-256) zum Einsatz kommen.

Backup-Speicherorte werden nach definierten Kriterien ausgewählt und regelmäßig auf ihre Verfügbarkeit und physische Sicherheit überprüft. Cloud-Sicherungen müssen die vertraglich und regulatorisch geforderten Schutzstandards erfüllen.

7.6 Wiederherstellungsstrategie

Wiederherstellungsprozesse (Restore) sind für alle Systeme und Daten definiert und dokumentiert. Dabei wird unterschieden zwischen:

Dateibasiertem Restore (z. B. versehentlich gelöschte Dateien),
Systemwiederherstellung (z. B. nach Hardwareausfall),
Desaster-Recovery-Wiederherstellung (z. B. nach Cyberangriff, Brand, Datenverlust).

Wiederherstellungszeiten (Recovery Time Objectives, RTO) und Datenverluste (Recovery Point Objectives, RPO) sind für alle geschäftskritischen Systeme definiert. Diese werden regelmäßig im Rahmen von Business-Impact-Analysen überprüft und angepasst.

7.7 Tests und Überprüfungen

Um die Wirksamkeit der Backup- und Restore-Prozesse zu gewährleisten, finden regelmäßig Tests statt:

Technische Restore-Tests werden mindestens halbjährlich durchgeführt.
Szenariobasierte Desaster-Recovery-Übungen erfolgen mindestens einmal jährlich.

Die Ergebnisse der Tests werden dokumentiert, bewertet und bei Bedarf in Maßnahmen zur Prozessoptimierung überführt.

Fehlgeschlagene Wiederherstellungen oder Abweichungen von erwarteten Zeitvorgaben werden der IT-Leitung unverzüglich gemeldet.

7.8 Zugriffsschutz und Protokollierung

Der Zugriff auf Backup-Systeme und -Speicherorte ist streng kontrolliert und ausschließlich qualifizierten, autorisierten Personen vorbehalten. Alle Aktionen im Zusammenhang mit Datensicherung und -wiederherstellung werden systematisch protokolliert und regelmäßig durch die Informationssicherheitsbeauftragten überprüft.

Für externe Dienstleister, die an Backup- oder Restore-Prozessen beteiligt sind, gelten vertraglich festgelegte Sicherheitsstandards, einschließlich Vertraulichkeit, Protokollierung und Zugriffskontrolle.

7.9 Verantwortung und Organisation

Die Gesamtverantwortung für Backup und Wiederherstellung liegt bei der IT-Leitung. Die operative Umsetzung erfolgt durch das IT-Betriebsteam bzw. durch benannte Administratoren. Die Fachabteilungen sind verantwortlich für die Klassifizierung und Priorisierung ihrer Systeme und Daten im Rahmen des Business-Impact-Managements.

Alle Beteiligten werden regelmäßig in ihren Aufgaben geschult und für die Einhaltung der Vorgaben dieser Richtlinie sensibilisiert.

7.10 Reaktion auf Sicherungsausfälle

Bei Ausfällen von Backup-Prozessen, erkannten Sicherungslücken oder vermuteter Kompromittierung von Backup-Daten erfolgt eine unverzügliche Meldung an die IT-Sicherheitsverantwortlichen. Diese leiten eine Sicherheitsüberprüfung ein, dokumentieren das Ereignis und ergreifen Maßnahmen zur Behebung. Gegebenenfalls wird das Vorfallmanagement gemäß der Richtlinie zur Behandlung von Sicherheitsvorfällen aktiviert.

7.11 Dokumentation und Aufbewahrungsfristen

Sicherungsvorgänge, Testprotokolle und Wiederherstellungsberichte werden mindestens fünf Jahre aufbewahrt. Die Dokumentation erfolgt zentral und revisionssicher. Änderungen an Backup-Zeitplänen oder Speicherorten bedürfen der Genehmigung durch die IT-Leitung und werden dokumentiert.

8. Richtlinie zur Sicherheit in der Lieferkette

8.1 Einleitung

Als Unternehmen sind zunehmend auf externe Dienstleister, Lieferanten und Partner angewiesen – sowohl in der physischen als auch in der digitalen Lieferkette. Diese Abhängigkeiten bergen erhebliche Sicherheitsrisiken, insbesondere wenn es um den Austausch oder die Verarbeitung vertraulicher Informationen, die Integration von Softwarediensten oder den Betrieb kritischer Infrastrukturen geht.

Diese Richtlinie legt verbindliche Maßnahmen zur Erkennung, Steuerung und Minimierung von Cybersicherheitsrisiken innerhalb der Lieferkette fest. Sie adressiert sowohl die Auswahl als auch die laufende Überwachung externer Parteien, die direkten oder indirekten Einfluss auf die Informationssicherheit und Betriebsstabilität unseres Unternehmens haben.

8.2 Zielsetzung

Ziel dieser Richtlinie ist es, die Sicherheitsanforderungen entlang der gesamten Lieferkette transparent, verlässlich und durchsetzbar zu gestalten. Insbesondere sollen Risiken, die sich aus Abhängigkeiten von Dritten ergeben – wie ungesicherte Schnittstellen, mangelhafte Updates oder Datenlecks – erkannt und durch geeignete Maßnahmen reduziert werden.

Dabei wird besonderer Wert auf Prävention, kontinuierliche Bewertung und Reaktionsfähigkeit im Fall von Störungen gelegt.

8.3 Sicherheitsanforderungen in der Auswahlphase

Bereits in der Ausschreibung und Auswahl von Drittparteien sind Sicherheitskriterien verbindlich festzulegen. Dazu können insbesondere gehören:

Vorlage eines dokumentierten Informationssicherheitskonzepts (z. B. nach ISO/IEC 27001),
Nachweise über vorhandene Zertifizierungen oder Auditergebnisse,
Verpflichtung zur Einhaltung geltender Datenschutz- und Sicherheitsvorgaben,
Offenlegung von Subunternehmern, die sicherheitsrelevant eingebunden werden.

Neue Lieferanten werden durch ein standardisiertes Risikoanalyseverfahren vor Vertragsabschluss bewertet. Hochrisikodienstleister dürfen nur mit Genehmigung der Sicherheitsverantwortlichen beauftragt werden.

8.4 Vertragliche Regelungen

Jede vertragliche Zusammenarbeit mit Drittparteien, die Systeme, Daten oder Prozesse des Unternehmens betrifft, muss durch Sicherheitsklauseln ergänzt werden. Diese enthalten insbesondere:

Verpflichtung zur Einhaltung dieser Richtlinie bzw. gleich wirksamer Maßnahmen,
Vereinbarung zu Informationspflichten bei Sicherheitsvorfällen (innerhalb definierter Fristen),
Kontroll- und Auditrechte durch das Unternehmen oder beauftragte Dritte,
Regelungen zur sicheren Datenverarbeitung und -löschung nach Vertragsende,
Vertraulichkeitsvereinbarungen (NDAs) mit entsprechenden Strafklauseln,
soweit personenbezogene Daten im Auftrag verarbeitet werden, einen Auftragsverarbeitungsvertrag (Art. 28 DSGVO).

Für besonders sensible Dienste kann ein Sicherheitsanhang erforderlich sein, der unter anderem Zugriffsbeschränkungen, Verschlüsselung oder physische Sicherungsmaßnahmen detailliert festlegt.

8.5 Zugriff und Systemintegration

Drittparteien erhalten ausschließlich Zugriff auf Systeme und Informationen, die für die vertraglich vereinbarte Leistungserbringung notwendig sind. Zugriffe erfolgen zeitlich und inhaltlich beschränkt, unter Verwendung von rollenbasierten Konten, VPN-Verbindungen und – sofern technisch möglich – MFA.

Systemintegrationen (z. B. API-Zugänge) unterliegen strengen Freigabe- und Protokollierungspflichten. Jede Verbindung wird dokumentiert und regelmäßig auf Sicherheitslücken überprüft.

8.6 Überwachung und Kontrolle

Die Einhaltung der vertraglichen Sicherheitsvorgaben wird durch kontinuierliche Überwachung und regelmäßige Überprüfungen sichergestellt. Dies umfasst:

jährliche oder risikobasierte Lieferantenbewertungen,
sicherheitsbezogene Audits durch interne Prüfer oder beauftragte Externe,
Prüfung eingehender Software oder Komponenten auf Integrität und Malware,
Überprüfung von Zugriffen, Logfiles und Konfigurationsänderungen durch Drittparteien.

Festgestellte Mängel werden dokumentiert, klassifiziert und mit Fristen zur Nachbesserung versehen. Bei wiederholter oder grober Missachtung behält sich unser Unternehmen den Ausschluss von Lieferanten vor.

8.7 Vorfallmanagement und Notfallvorsorge

Lieferanten sind verpflichtet, sicherheitsrelevante Vorfälle unverzüglich zu melden. Dazu zählen unter anderem:

Datenlecks oder Systemkompromittierungen,
Verdacht auf unberechtigten Zugriff,
sicherheitsrelevante Ausfälle oder Beeinträchtigungen der Serviceverfügbarkeit.

Solche Meldungen sind innerhalb definierter Fristen an die Sicherheitsverantwortlichen weiterzuleiten. Lieferanten müssen über geeignete eigene Prozesse zur Vorfallbehandlung verfügen und bei Bedarf in interne Notfallübungen eingebunden werden.

8.8 Schulung und Sensibilisierung

Personen, die von externen Partnern eingesetzt werden und sicherheitskritische Aufgaben übernehmen oder Zugriff auf interne Systeme haben, müssen nachweislich in grundlegende Sicherheitsprinzipien eingewiesen werden. Diese Einweisung kann durch unser Unternehmen selbst oder auf Basis dokumentierter Schulungen durch den Dienstleister erfolgen.

8.9 Dokumentation und Lieferantenverzeichnis

Ein zentrales Verzeichnis aller sicherheitsrelevanten Drittparteien wird gepflegt. Es enthält Informationen zu:

Name, Kontakt und Zuständigkeit des Lieferanten,
Sicherheitszertifikate und vertragliche Sicherheitsklauseln,
Bewertungsergebnisse, Audits und dokumentierte Vorfälle,
Verantwortliche Ansprechpersonen im Unternehmen.

Das Verzeichnis wird mindestens jährlich aktualisiert.

9. Netzwerksicherheitsrichtlinie

9.1 Einleitung

Netzwerke sind die Lebensadern moderner Organisationen. Über sie werden kritische Daten übertragen, Dienste bereitgestellt und externe Schnittstellen betrieben. Gleichzeitig stellen sie einen zentralen Angriffsvektor für Bedrohungen aus dem Cyberraum dar. Die vorliegende Netzwerksicherheitsrichtlinie definiert Maßnahmen und Verfahren, um Netzwerke strukturiert abzusichern, Risiken zu minimieren und die Integrität, Verfügbarkeit und Vertraulichkeit der übermittelten Informationen zu gewährleisten.

9.2 Zielsetzung

Ziel dieser Richtlinie ist es, die Netzwerkinfrastruktur des Unternehmens so zu gestalten, zu betreiben und zu überwachen, dass Sicherheitsbedrohungen frühzeitig erkannt, Zugriffe kontrolliert und Sicherheitsvorfälle wirksam verhindert oder begrenzt werden. Die Richtlinie umfasst sowohl physische als auch virtuelle Netzwerkkomponenten, interne sowie externe Schnittstellen, drahtgebundene und drahtlose Netze sowie Cloud-basierte Verbindungen.

9.3 Geltungsbereich

Diese Richtlinie gilt für alle Netzwerkkomponenten und -dienste, die im Verantwortungsbereich des Unternehmens betrieben werden oder mit ihr verbunden sind. Dazu gehören insbesondere:

interne LAN- und WLAN-Strukturen,
WAN- und Internetverbindungen,
VPN-Zugänge und mobile Zugriffslösungen,
Router, Switches, Firewalls, Gateways, IDS/IPS-Systeme,
netzwerkbasierte Sicherheits- und Überwachungsfunktionen.

9.4 Netzwerkdesign und Segmentierung

Die Netzwerktopologie wird nach dem Prinzip der Segmentierung und Minimierung von Angriffsflächen gestaltet. Dabei gilt:

Netzwerke werden logisch und physisch segmentiert – insbesondere nach Schutzbedarf (z. B. Office, Produktion, Verwaltung, Gäste).
Kritische Systeme (z. B. Steuerungsanlagen, Datenbanken) sind durch zusätzliche Sicherheitszonen (z. B. DMZ, Hochsicherheitssegmente) isoliert.
Externe Zugriffspunkte (z. B. über VPN, Remote Desktop, Cloud Services) sind getrennt von internen Netzbereichen zu führen.
Übergänge zwischen Zonen erfolgen über dedizierte, kontrollierte Übergangspunkte mit Firewalls und Protokollfiltern.

Die Segmentierung wird regelmäßig überprüft und bei Änderungen der Bedrohungslage, Infrastruktur oder Geschäftsprozesse angepasst.

9.5 Zugriffskontrolle auf Netzebene

Der Zugriff auf Netzwerkressourcen unterliegt rollenbasierten Zugriffsbeschränkungen. Es gelten folgende Vorgaben:

Switch-Ports sind in der Grundeinstellung deaktiviert („Port Security”), sofern nicht explizit freigegeben.
Der Netzwerkzugang wird über MAC-Adressfilter, 802.1X oder vergleichbare Verfahren kontrolliert.
VPN-Zugänge sind durch individuelle Benutzerkennungen, starke Authentifizierung (z. B. MFA) und zeitliche Begrenzungen abzusichern.
Gäste und Besucher erhalten ausschließlich Zugang zu dedizierten VLANs mit Internetzugang, ohne Verbindung zu internen Systemen.
Alle Zugriffsvorgänge auf Netzwerkressourcen werden protokolliert.

9.6 Netzwerküberwachung und Angriffserkennung

Zur Früherkennung von Bedrohungen wird die Netzwerkinfrastruktur durch technische Maßnahmen überwacht. Dies umfasst:

den Einsatz von Intrusion Detection/Prevention Systemen (IDS/IPS),
die zentrale Auswertung von Firewall- und Router-Logs,
die Analyse von Netzwerktraffic auf Anomalien (z. B. Datenvolumen, Frequenz, Quellen),
die Alarmierung bei Erkennung verdächtiger Aktivitäten.

Netzwerküberwachungsmaßnahmen unterliegen Datenschutzanforderungen und werden durch autorisierte Stellen dokumentiert und regelmäßig bewertet.

9.7 Schutz drahtloser Netzwerke (WLAN)

WLAN-Netzwerke werden getrennt von kabelgebundenen Netzwerken betrieben. Es gelten folgende Mindestanforderungen:

Verwendung aktueller Verschlüsselungstechnologien (mindestens WPA3),
Authentifizierung über zentrale Benutzerkonten oder Pre-Shared Keys mit Rotation,
regelmäßige Änderung und Verwaltung der Zugangsdaten,
vollständige Abschottung von produktiven Ressourcen bei Gast-WLAN.

WLAN-Controller und Access Points werden zentral verwaltet, und ihre Konfigurationen regelmäßig aktualisiert.

9.8 Firewalls und Netzwerkgrenzschutz

Firewalls werden an allen relevanten Übergabepunkten zum Internet oder zwischen Netzsegmenten betrieben. Sie erfüllen folgende Aufgaben:

Filterung nach Quell- und Ziel-IP, Port, Protokoll,
Blockierung unerwünschter oder unsicherer Dienste (z. B. Telnet, FTP),
Protokollierung aller abgelehnten Verbindungsversuche,
Regelmäßige Überprüfung und Anpassung der Firewall-Regeln.

Zusätzlich wird geprüft, ob Application Layer Gateways (ALGs) oder Web Application Firewalls (WAF) erforderlich sind, z. B. zum Schutz externer Webdienste.

9.9 Änderungsmanagement und Patching

Konfigurationen von Netzwerkkomponenten (z. B. Router, Firewalls) unterliegen einem formalen Änderungsprozess. Änderungen erfolgen:

dokumentiert und nachvollziehbar,
mit Risikobewertung und Genehmigung durch die IT-Sicherheitsverantwortlichen,
nur durch autorisiertes Fachpersonal,
mit zeitnaher Aktualisierung von Netzplänen und Dokumentation.

Firmware-Updates und Sicherheits-Patches werden zeitnah nach Bekanntwerden von Schwachstellen implementiert – spätestens jedoch innerhalb der definierten Fristen je nach Kritikalität.

9.10 Backup und Wiederherstellung von Netzwerkkonfigurationen

Die Konfigurationen aller sicherheitsrelevanten Netzwerkkomponenten werden regelmäßig gesichert und auf separat geschützten Medien abgelegt. Diese Backups erfolgen automatisiert (sofern technisch möglich) und mindestens wöchentlich oder bei jeder konfigurationsrelevanten Änderung. Eine vollständige Wiederherstellung der Netzwerkinfrastruktur muss innerhalb der definierten Recovery Time Objectives (RTO) gewährleistet sein.

9.11 Schulung und Sensibilisierung

Alle mit der Planung, dem Betrieb oder der Überwachung von Netzwerken betrauten Personen werden regelmäßig geschult. Themen umfassen unter anderem:

sichere Netzwerkkonfiguration,
aktuelle Bedrohungen und Angriffsvektoren,
Meldeverfahren für Anomalien oder Sicherheitsverstöße,
Durchführung sicherer Software- und Hardware-Updates.

Auch allgemeine Mitarbeitende werden über sichere Nutzung von Netzwerken, VPN-Zugängen und WLAN informiert.

10. Patch-Management-Richtlinie

10.1 Einleitung

Software- und Firmware-Schwachstellen zählen zu den häufigsten Ursachen erfolgreicher Cyberangriffe. Ein strukturiertes und risikoorientiertes Patch-Management stellt sicher, dass sicherheitsrelevante Schwachstellen in IT-Systemen, Anwendungen und Infrastrukturkomponenten erkannt, bewertet und innerhalb definierter Zeiträume behoben werden. Diese Richtlinie beschreibt die organisatorischen und technischen Verfahren zur Steuerung und Umsetzung des Patch-Management-Prozesses.

10.2 Zielsetzung

Ziel dieser Richtlinie ist es, die IT-Sicherheit durch eine systematische Pflege und Aktualisierung aller eingesetzten IT-Komponenten sicherzustellen. Dies umfasst die Erkennung relevanter Schwachstellen, die Priorisierung nach Kritikalität, die koordinierte Bereitstellung und Verteilung von Updates sowie deren Prüfung und Dokumentation.

10.3 Geltungsbereich

Die Richtlinie gilt für alle Hardware- und Softwareprodukte, Betriebssysteme, Middleware-Komponenten, Applikationen, Datenbanken, Netzwerkgeräte und sonstige IT-Komponenten, die im Unternehmen eingesetzt werden – unabhängig davon, ob sie lokal, mobil oder cloudbasiert betrieben werden.

10.4 Allgemeine Anforderungen

Alle eingesetzten Systeme müssen regelmäßig mit sicherheitsrelevanten Aktualisierungen (Patches, Fixes, Hotfixes) versorgt werden. Dies gilt insbesondere für:

Betriebssysteme und Anwendungen mit direkter oder indirekter Internetverbindung,
Systeme mit sensiblen oder personenbezogenen Daten,
Komponenten in kritischen Geschäftsprozessen.

Die Verantwortung für das Patch-Management liegt bei der IT-Abteilung bzw. benannten Systemverantwortlichen. Sie stellen sicher, dass Prozesse, Tools und Fristen zur Umsetzung eingehalten werden.

10.5 Identifikation und Bewertung von Schwachstellen

Relevante Schwachstellen werden identifiziert durch:

Monitoring einschlägiger Sicherheitsquellen (z. B. CVE, NIST NVD, Hersteller-Alerts),
Teilnahme an herstellerseitigen Security Advisory-Programmen,
Einsatz automatisierter Schwachstellenscanner (Vulnerability Scanner),
Rückmeldungen aus internen Prüfungen oder externen Audits.

Jede gefundene Schwachstelle wird nach Kritikalität (z. B. gemäß CVSS) eingestuft und mit einem Risikowert versehen. Dabei wird berücksichtigt:

das betroffene System und sein Schutzbedarf,
das potenzielle Schadensausmaß,
die Angriffswahrscheinlichkeit und Ausnutzbarkeit.

10.6 Reaktionsfristen (Patch-Zeithorizonte)

Basierend auf der Kritikalität werden folgende Umsetzungsfristen festgelegt:

Kritikalität	Beschreibung	Umsetzungsfrist
Kritisch	Hohe Ausnutzbarkeit, bekannte Exploits	innerhalb von 7 Tagen
Hoch	Schwere Sicherheitslücke, kein Exploit	innerhalb von 14 Tagen
Mittel	Eingeschränkte Ausnutzbarkeit	innerhalb von 30 Tagen
Niedrig	Geringes Risiko, kosmetisch	im Rahmen geplanter Wartung

Ausnahmen bedürfen einer dokumentierten Begründung und Genehmigung durch die IT-Sicherheitsverantwortlichen.

10.7 Test, Freigabe und Rollout

Vor dem Ausrollen neuer Patches müssen diese in einer geeigneten Testumgebung auf:

Kompatibilität,
Systemstabilität und
unbeabsichtigte Nebenwirkungen

geprüft werden. Erst nach erfolgreicher Testphase erfolgt die Freigabe durch die zuständigen Systemverantwortlichen. Der Rollout erfolgt gestaffelt, beginnend mit weniger kritischen Systemen.

Bei Notfallpatches („Zero-Day”) kann auf Tests verzichtet werden, sofern die Risikobewertung dies rechtfertigt.

10.8 Automatisierung und Tools

Patch-Management wird soweit möglich durch zentrale Systeme automatisiert. Dazu gehören:

Betriebssystem-interne Update-Services,
zentrale Softwareverteilungsplattformen,
Endpoint-Management-Tools für mobile und remote Systeme,
Cloud-basierte Update-Kontrollen bei SaaS/PaaS-Diensten.

Systeme mit manueller Updatepflicht sind in einer Ausnahmeliste dokumentiert und unterliegen besonderer Kontrolle.

10.9 Dokumentation und Nachweisführung

Für jede Aktualisierung ist zu dokumentieren:

betroffene Systeme,
angewendete Patches (inkl. Herstellerinformationen),
Datum und Zeitpunkt des Rollouts,
Ergebnis der Tests,
ggf. beobachtete Nebenwirkungen oder Ausfälle,
Genehmigungen bei Ausnahmen.

Diese Informationen werden zentral gespeichert und sind Bestandteil der Auditunterlagen.

10.10 Schulung und Verantwortlichkeiten

Alle Administratoren, Entwickler und IT-Fachkräfte, die mit Patch-Management-Aufgaben betraut sind, werden regelmäßig geschult. Inhalte der Schulung umfassen:

Schwachstellenbewertung,
sichere Test- und Rollout-Verfahren,
Umgang mit Notfallpatches,
Dokumentationspflichten.

Die Gesamtverantwortung für das Patch-Management liegt bei der IT-Leitung. Einzelne Systemverantwortliche sind für die Umsetzung in ihrem Bereich zuständig.

10.11 Überwachung und Auditierung

Die Einhaltung dieser Richtlinie wird im Rahmen interner Audits und automatisierter Systemprüfungen regelmäßig kontrolliert. Festgestellte Abweichungen werden dokumentiert und mit Fristen zur Behebung versehen. Wiederholte Verstöße werden dem Managementbericht zur Sicherheitslage zugeführt.

11. Richtlinie für sichere Konfigurationen

11.1 Einleitung

Sicherheitslücken entstehen häufig nicht durch fehlerhafte Software, sondern durch unzureichend gehärtete oder falsch konfigurierte Systeme. Um derartige Risiken zu vermeiden, ist es erforderlich, für alle eingesetzten IT-Systeme, Anwendungen und Geräte definierte, geprüfte und sicherheitskonforme Konfigurationen zu verwenden. Diese Richtlinie legt die organisatorischen und technischen Grundsätze fest, nach denen Konfigurationen standardisiert, dokumentiert, geprüft und gepflegt werden.

11.2 Zielsetzung

Ziel dieser Richtlinie ist es, durch konsistente und gehärtete Konfigurationen die Angriffsfläche aller Systeme zu minimieren, Sicherheitslücken zu vermeiden und einen dokumentierten und auditierbaren Zustand aller IT-Komponenten zu gewährleisten. Die Maßnahmen sollen sicherstellen, dass nur vertrauenswürdige, geprüfte und aufgabenkonforme Systeme betrieben werden.

11.3 Geltungsbereich

Diese Richtlinie gilt für alle Server, Clients, Netzwerkgeräte, Anwendungen, Betriebssysteme, mobilen Endgeräte und Cloud-Dienste, die im Rahmen von Geschäftsprozessen eingesetzt werden. Sie umfasst sowohl physische als auch virtuelle Systeme sowie lokale und externe Infrastrukturkomponenten.

11.4 Grundprinzipien sicherer Konfigurationen

Unser Unternehmen verfolgt folgende Prinzipien:

Standardisierung: Systeme werden anhand definierter Baselines (z. B. „System Hardening Guides”) eingerichtet.
Minimierung: Es werden nur Komponenten installiert und aktiviert, die für den vorgesehenen Einsatzzweck zwingend erforderlich sind („Minimal Footprint”).
Trennung von Funktionen: Systeme übernehmen jeweils klar abgegrenzte Aufgabenbereiche (z. B. keine Kombination aus Webserver und Datenbankserver).
Zugriffskontrolle: Nur autorisierte Personen dürfen Konfigurationen ändern. Änderungen sind nachvollziehbar zu dokumentieren.
Verschlüsselung und Authentifizierung: Sicherheitsrelevante Einstellungen (z. B. Zertifikate, Hashverfahren, Ports) werden gemäß aktueller Sicherheitsstandards konfiguriert.

11.5 Erstellung und Pflege sicherer Basiskonfigurationen

Für alle Systemtypen existieren dokumentierte Basiskonfigurationen („Hardening-Vorgaben”), die auf anerkannten Standards beruhen – z. B. CIS Benchmarks, Herstellerempfehlungen, BSI-Hardening-Guidelines. Diese werden:

zentral gepflegt und versioniert,
regelmäßig an neue Sicherheitsanforderungen angepasst,
bei jeder Neueinführung eines Systems angewendet,
mit den Verantwortlichen der Fachbereiche abgestimmt.

Vor Inbetriebnahme eines Systems ist sicherzustellen, dass die Basiskonfiguration vollständig umgesetzt wurde.

11.6 Absicherung des Systemstarts

Bei der Erstkonfiguration gelten besondere Vorgaben:

Standardpasswörter und Standardkonten werden deaktiviert oder geändert,
nicht benötigte Dienste, Benutzerkonten, Protokolle und Netzwerkports werden entfernt oder deaktiviert,
Konfigurationsschnittstellen werden gegen unberechtigten Zugriff geschützt,
Logging- und Monitoring-Funktionen werden aktiviert.

Die Erstkonfiguration wird durch einen Konfigurationscheck verifiziert und dokumentiert.

11.7 Änderungsmanagement

Alle Konfigurationsänderungen unterliegen einem dokumentierten Änderungsprozess, der folgende Elemente umfasst:

Beschreibung der Änderung und Begründung,
Risikobewertung,
Genehmigung durch autorisierte Stellen,
Test und Validierung der Auswirkungen,
Protokollierung und Archivierung.

Ungeplante Änderungen, z. B. im Rahmen von Vorfallreaktionen, sind im Nachgang zu dokumentieren und zu prüfen.

11.8 Schutz der Konfigurationsdaten

Konfigurationsdateien und -skripte sind vor unbefugtem Zugriff, versehentlicher Änderung oder Löschung zu schützen. Sie werden zentral gespeichert, verschlüsselt gesichert und versioniert. Zugriff erhalten ausschließlich autorisierte Administratoren.

Backups von Konfigurationsdaten erfolgen regelmäßig und sind Teil des übergreifenden Backup- und Wiederherstellungskonzepts.

11.9 Überwachung und Prüfung

Die Einhaltung sicherer Konfigurationen wird durch regelmäßige Überprüfungen sichergestellt:

Technische Scans auf Abweichungen von Baselines (z. B. mittels Compliance-Scanner),
Manuelle Stichproben im Rahmen von Audits,
Vergleich aktueller mit historischer Konfiguration bei Auffälligkeiten oder Störungen.

Abweichungen werden dokumentiert, priorisiert und mit Fristen zur Behebung versehen. Kritische Abweichungen können zur sofortigen Eskalation führen.

11.10 Schulung und Sensibilisierung

Alle mit Konfigurationsaufgaben betrauten Personen (z. B. Systemadministratoren, Netzwerkverantwortliche etc.) werden regelmäßig zu sicheren Konfigurationstechniken geschult. Schulungen umfassen insbesondere:

aktuelle Hardening-Vorgaben und Tools,
Dokumentationsanforderungen,
typische Fehlkonfigurationen und deren Auswirkungen.

11.11 Umgang mit Cloud- und SaaS-Konfigurationen

Auch bei extern gehosteten Diensten ist sicherzustellen, dass sicherheitsrelevante Einstellungen überprüft und an die Basiskonfigurationen des Unternehmens angepasst werden. Dazu zählen unter anderem:

Authentifizierungsverfahren (z. B. SSO, MFA),
Datenverschlüsselung bei Übertragung und Speicherung,
Konfiguration von Rollen und Berechtigungen,
Logging- und Auditfunktionen.

Sofern Konfigurationen nicht direkt beeinflusst werden können, müssen die jeweiligen Sicherheitsanforderungen vertraglich geregelt und überprüfbar sein.

12. Richtlinie zur Mitarbeitersensibilisierung und Schulung

12.1 Einleitung

Menschen stellen häufig die erste und zugleich entscheidende Verteidigungslinie gegen Cyberbedrohungen dar. Der wirksamste technische Schutz verliert an Bedeutung, wenn Mitarbeitende nicht in der Lage sind, Phishing-Versuche zu erkennen, verdächtige Aktivitäten zu melden oder mit sensiblen Informationen angemessen umzugehen.

Diese Richtlinie legt die Grundsätze und Anforderungen für die Sensibilisierung und Schulung aller Beschäftigten in Bezug auf Cybersicherheit und Datenschutz fest. Ziel ist es, eine organisationsweite Sicherheitskultur zu etablieren, die das Sicherheitsbewusstsein aller stärkt und Risiken durch Fehlverhalten oder Unwissen reduziert.

12.2 Zielsetzung

Ziel der Richtlinie ist es, durch strukturierte, verpflichtende und regelmäßig wiederholte Schulungen sicherzustellen, dass alle Mitarbeitenden:

ihre individuelle Verantwortung für Informationssicherheit kennen,
über aktuelle Bedrohungen und Sicherheitsmaßnahmen informiert sind,
sicherheitsrelevante Vorgänge erkennen und korrekt darauf reagieren können,
zur aktiven Mitwirkung an der Sicherheitsstrategie motiviert sind.

Die Maßnahmen zielen darauf ab, das Sicherheitsniveau nachhaltig zu stärken und Compliance-Anforderungen nach NIS2, DSGVO und weiteren Normen zu erfüllen.

12.3 Sensibilisierungsmaßnahmen

Alle Mitarbeitenden werden durch ein mehrstufiges Sensibilisierungsprogramm erreicht, das folgende Elemente umfasst:

12.3.1 Onboarding-Schulung

Neue Mitarbeitende erhalten innerhalb der ersten Arbeitswoche eine verpflichtende Sicherheitsschulung. Diese umfasst Grundlagen der Informationssicherheit, Datenschutz, sicheres Arbeiten mit IT-Systemen und typische Bedrohungen (z. B. Phishing, Social Engineering).

12.3.2 Jährliche Auffrischung

Mindestens einmal jährlich nehmen alle Beschäftigten an einer aktualisierten Schulung teil, die auf neue Risiken, Vorfallstatistiken und technische Veränderungen eingeht.

12.3.3 Ad-hoc-Informationen

Bei akuten Bedrohungen oder relevanten Vorfällen werden zielgerichtete Hinweise und Verhaltensempfehlungen kurzfristig kommuniziert – etwa per E-Mail, Intranet, Plakaten oder kurzen Videoeinheiten.

12.4 Schulungsinhalte

Die Schulungen sind risikobasiert aufgebaut und umfassen je nach Rolle und Verantwortungsbereich u. a.:

Grundlagen der IT- und Informationssicherheit,
sichere Passwortnutzung und Multi-Faktor-Authentifizierung,
Phishing- und Social-Engineering-Erkennung,
Umgang mit mobilen Geräten und Homeoffice-Zugängen,
Meldeverfahren für Sicherheitsvorfälle.

Für bestimmte Rollen (z. B. Administratoren, Entwickler, Einkauf, HR) gelten vertiefende Schulungsinhalte.

12.5 Formate und Durchführung

Die Schulungen werden je nach Zielgruppe und Inhalt in folgenden Formaten angeboten:

interaktive E-Learning-Module mit Selbsttests,
Präsenzveranstaltungen und Webinare,
simulierte Phishing-Kampagnen („Security Awareness Exercises”),
kurze Informationsvideos und Checklisten im Intranet.

Alle Schulungen werden dokumentiert und durch eine Teilnahmebestätigung oder einen bestandenen Abschlusstest nachgewiesen.

12.6 Evaluation und Wirksamkeitsprüfung

Zur Bewertung der Effektivität der Sensibilisierungsmaßnahmen werden regelmäßig folgende Parameter erhoben:

Teilnahmequoten und Testergebnisse,
Erkenntnisse aus simulierten Phishing-Angriffen (Klick- und Melderaten),
Anzahl und Qualität interner Vorfallmeldungen,
Rückmeldungen aus Audits und Interviews.

Die Ergebnisse werden analysiert und fließen in die Weiterentwicklung der Schulungsstrategie ein.

12.7 Verantwortlichkeiten

Die Durchführung, Weiterentwicklung und Überwachung der Sensibilisierungsmaßnahmen liegt in der Verantwortung des IST. Die Führungskräfte stellen sicher, dass ihre Mitarbeitenden Schulungen absolvieren und sicherheitskonform handeln. Das Personalwesen koordiniert die Schulungen im Onboarding-Prozess.

12.8 Sanktionen bei Verweigerung oder Pflichtverstößen

Die Nichtteilnahme an verpflichtenden Schulungen oder sicherheitswidriges Verhalten trotz Schulung kann arbeitsrechtliche Konsequenzen nach sich ziehen (insbesondere Abmahnung, Ausschluss aus sicherheitskritischen Bereichen etc.)

13. Kryptographierichtlinie

13.1 Einleitung

Kryptografische Verfahren sind ein zentrales Mittel zum Schutz sensibler Informationen und zur Absicherung der Kommunikation in Netz- und Informationssystemen. Sie gewährleisten Vertraulichkeit, Integrität, Authentizität und teilweise auch die Nachvollziehbarkeit von Datenverarbeitungsvorgängen.

Diese Richtlinie legt verbindliche Regeln für Auswahl, Anwendung und Verwaltung kryptografischer Verfahren fest. Sie basiert auf den Anforderungen der NIS2-Richtlinie, der zugehörigen EU-Durchführungsverordnung sowie auf den Empfehlungen international anerkannter Standards (u. a. ENISA, BSI TR-02102, NIST SP 800-57/131).

13.2 Zielsetzung

Die Richtlinie stellt sicher, dass:

alle eingesetzten kryptografischen Verfahren dem Stand der Technik entsprechen,
die Auswahl und Anwendung nachvollziehbar, konsistent und dokumentiert erfolgt,
kryptografische Schlüssel sicher erzeugt, gespeichert, verwendet und vernichtet werden,
Schwachstellen durch veraltete oder unsichere Algorithmen vermieden werden.

13.3 Geltungsbereich

Diese Richtlinie gilt für alle Systeme, Dienste und Prozesse, bei denen Verschlüsselung, Signatur, Authentifizierung oder Hashing zum Einsatz kommt. Dazu zählen insbesondere:

Datenspeicherung (z. B. Festplatten, Datenbanken, Backups),
Datenübertragung (z. B. E-Mail, Web, VPN, mobile Kommunikation),
Zugriffskontrolle (z. B. Passwort-Hashing, Authentifizierungs-Token),
Digitale Signaturen (z. B. PDF-Dokumente, Rechnungen, Verträge),
Kryptobasierte Sicherheitsprotokolle (TLS, IPsec, SSH, S/MIME, PGP).

13.4 Anforderungen an Algorithmen und Schlüssel

13.4.1 Zulässige Algorithmen

Nur kryptografische Algorithmen, die als sicher und anerkannt gelten, dürfen verwendet werden. Als Mindeststandard gelten:

Zweck	Erlaubte Verfahren
Symmetrisch	AES-256 (AES-128 nur mit dokumentierter Begründung)
Asymmetrisch	RSA ≥ 3072 Bit, ECC (z. B. Curve25519, P-384)
Hashing	SHA-256, SHA-3, BLAKE2 (kein MD5, SHA-1)
Signaturverfahren	RSA-PSS, ECDSA

Eine regelmäßig aktualisierte Positivliste wird durch das IST gepflegt.

13.4.2 Schlüsselmanagement

Schlüssel sind eindeutig zu kennzeichnen, sicher zu erzeugen und ausschließlich über HSM oder qualifizierte Softwaretools zu speichern.
Private Schlüssel dürfen niemals in unverschlüsselter Form abgelegt werden.
Schlüssellängen müssen den empfohlenen Sicherheitsniveaus (z. B. ENISA, BSI) entsprechen.
Schlüssellebensdauer und Austauschzyklen sind definiert und abhängig vom Schutzbedarf.
Die Zerstörung abgelaufener Schlüssel erfolgt dokumentiert und nachvollziehbar.

13.5 Anwendung kryptografischer Verfahren

Kryptografie muss in folgenden Fällen zwingend eingesetzt werden:

beim Übertragen personenbezogener, sensibler oder vertraulicher Daten über unsichere Netze (z. B. Internet),
bei der Speicherung vertraulicher Daten außerhalb kontrollierter IT-Umgebungen (z. B. auf mobilen Endgeräten, externen Medien, in der Cloud),
bei der Authentifizierung administrativer oder privilegierter Benutzerkonten,
bei Fernzugriffen auf interne Systeme (z. B. via VPN, RDP, SSH),
für Backups und Notfalldaten, insbesondere bei Offsite-Speicherung.

13.6 Zertifikats- und Vertrauensinfrastruktur

Die Nutzung von digitalen Zertifikaten erfolgt über eine definierte PKI (Public Key Infrastructure). Für interne Zertifikate wird eine eigene CA betrieben oder eine vertrauenswürdige externe CA beauftragt. Es gelten folgende Vorgaben:

Zertifikate müssen durch vertrauenswürdige Stellen ausgestellt und verwaltet werden,
Zertifikate dürfen nicht selbstsigniert sein (Ausnahme: Testumgebungen),
die Laufzeit beträgt maximal 13 Monate (Public CA) bzw. 24 Monate (interne CA),
Widerrufsmechanismen (CRL/OCSP) müssen unterstützt werden.

13.7 Technische und organisatorische Maßnahmen

Kryptografische Module müssen zertifiziert sein (z. B. FIPS 140-2, Common Criteria).
Passwörter, die zur Freigabe privater Schlüssel dienen, müssen starke Komplexitätsanforderungen erfüllen und nicht mehrfach verwendet werden.
Kein Einsatz von „Proprietary Encryption” ohne externe Prüfung.
Automatische Ablaufüberwachung für Zertifikate mit rechtzeitiger Erneuerung.

13.8 Dokumentation und Kontrolle

Für jede kryptografische Maßnahme ist eine Dokumentation zu führen, die Folgendes enthält:

Zweck, Verfahren und eingesetzte Algorithmen,
Schlüssellänge, Ablaufdatum und Speicherort,
Verantwortlichkeiten und Nutzungskontext,
Ablaufprotokolle und Audit-Trails für Nutzung und Schlüsselwechsel.

13.9 Überprüfung, Audits und Anpassung

Die Einhaltung dieser Richtlinie wird regelmäßig im Rahmen von Audits, Systemprüfungen und Konfigurationsanalysen überprüft. Bei sicherheitsrelevanten Änderungen der Algorithmen (z. B. durch neue Kryptoanalysen) erfolgt eine außerplanmäßige Neubewertung. Die Richtlinie wird mindestens einmal jährlich aktualisiert.

13.10 Schulung und Sensibilisierung

Alle IT-Administratoren, Entwickler und sonstige relevante technische Rollen werden regelmäßig zu kryptografischen Grundlagen, Standards und Risiken geschult. Die Inhalte umfassen u. a.:

sichere Schlüsselerzeugung,
korrektes Einbinden von TLS/SSL,
Vermeidung kryptografischer Fehlkonfigurationen.

14. Richtlinie zum Asset-Management

14.1 Einleitung

Ein vollständiger Überblick über sämtliche informationsbezogenen Vermögenswerte (Assets) ist unerlässlich, um angemessene Schutzmaßnahmen für Netz- und Informationssysteme zu gewährleisten. Nur wenn Art, Standort, Eigentümer und Schutzbedarf von IT-Assets bekannt sind, lassen sich Risiken korrekt bewerten und wirksam behandeln. Diese Richtlinie legt die organisatorischen, administrativen und technischen Anforderungen für ein systematisches Asset-Management fest.

14.2 Zielsetzung

Die Richtlinie verfolgt das Ziel, die Verfügbarkeit, Integrität und Vertraulichkeit von Informationen durch ein strukturiertes und aktuelles Management aller IT-bezogenen Vermögenswerte sicherzustellen. Sie bildet die Grundlage für Risikobewertungen, technische Schutzmaßnahmen, Zugriffskontrollen, Audits und Compliance-Nachweise im Rahmen der NIS2-Umsetzung.

14.3 Geltungsbereich

Diese Richtlinie gilt für alle physischen und digitalen Vermögenswerte, die zur Speicherung, Verarbeitung, Übertragung oder Sicherung von Informationen verwendet werden. Dazu gehören insbesondere:

Hardwarekomponenten (z. B. Server, Clients, Notebooks, mobile Endgeräte, Firewalls, IoT-Geräte),
Softwarelizenzen und Anwendungen (lokal und cloudbasiert),
Datenbestände (z. B. personenbezogene, unternehmenskritische oder vertrauliche Informationen),
Konfigurations- und Betriebsdaten (z. B. System-Images, Konfigurationsdateien),
virtuelle Assets (z. B. Container, VMs, SaaS-Komponenten),
logische Assets (z. B. Zertifikate, API-Keys, Zugriffsrechte).

14.4 Klassifikation von Assets

Alle Assets werden in einem standardisierten Klassifikationsschema eingestuft. Kriterien sind:

Vertraulichkeit: Handelt es sich um personenbezogene, vertrauliche oder öffentlich zugängliche Daten?
Integrität: Wie schwerwiegend wäre eine unbeabsichtigte oder absichtliche Änderung?
Verfügbarkeit: Welchen Einfluss hätte der Verlust auf Geschäftsprozesse?
Schutzbedarf: Hoch / Mittel / Gering – je nach Kombination der obigen Faktoren.

Die Klassifikation wird durch die Fachbereiche in Abstimmung mit der Informationssicherheit vorgenommen und dokumentiert.

14.5 Registrierung und Inventarisierung

Alle relevanten Assets sind zu inventarisieren und in einem zentralen Asset-Register zu erfassen. Die Erfassung erfolgt bei:

Anschaffung,
Systemeinführung,
Lizenzfreischaltung,
erstmaliger Verbindung mit dem Unternehmensnetzwerk.

Jedes Asset erhält eine eindeutige ID. Die folgenden Informationen sind zu dokumentieren:

Asset-Typ, Hersteller, Seriennummer,
physischer oder logischer Standort,
verantwortliche Person oder Organisationseinheit,
Klassifikation und Schutzbedarf,
Lebenszyklusstatus (aktiv, außer Betrieb, zur Entsorgung),
relevante Lizenzinformationen (für Software).

14.6 Verantwortlichkeiten

Für jedes Asset wird eine verantwortliche Person benannt („Asset Owner”). Diese trägt die Verantwortung für:

die Richtigkeit der Dokumentation,
die Einhaltung von Schutzmaßnahmen entsprechend dem Schutzbedarf,
die Meldung bei Änderungen, Verlust oder Ausmusterung.

Die IT-Abteilung pflegt das zentrale Verzeichnis und stellt die technische Infrastruktur für das Asset-Management bereit. Das IST führt Stichproben und Audits durch.

14.7 Lebenszyklusmanagement

Der vollständige Lebenszyklus eines Assets wird berücksichtigt – von der Beschaffung bis zur sicheren Entsorgung. Es gelten folgende Phasen:

Planung und Beschaffung

Auswahl sicherheitskonformer Produkte, Berücksichtigung von Supportlaufzeiten und Kompatibilität.

Inbetriebnahme

Dokumentation, Zuweisung, erste Sicherheitsprüfung (Konfiguration, Patch-Stand).

Nutzung und Betrieb

Laufende Pflege (Updates, Monitoring), Zugangskontrolle, Verantwortungsprüfung.

Veränderung oder Wechsel

Aktualisierung der Bestandsdaten und Neuzuordnung.

Außerbetriebnahme und Entsorgung

Sicheres Löschen aller Daten, Rückgabe von Lizenzen, umweltgerechte Entsorgung dokumentiert.

14.8 Schutzmaßnahmen nach Schutzbedarf

Je nach Klassifikation sind geeignete Schutzmaßnahmen umzusetzen, z. B.:

Schutzbedarf	Beispiele für Schutzmaßnahmen
Gering	Basisschutz, einfache Authentifizierung, grundlegendes Logging
Mittel	Virenschutz, Zugriffskontrolle, regelmäßige Backups
Hoch	Verschlüsselung, MFA, Logging mit Anomalieerkennung, Zugang nur für berechtigte Personen nach Freigabeprozessen

14.9 Überprüfung und Audit

Das Asset-Register wird halbjährlich auf Aktualität überprüft. Jährlich erfolgt ein vollständiger Abgleich mit:

Einkaufslisten (HW/SW),
Netzwerkinventar (z. B. durch automatisierte Discovery-Tools),
Lizenzdatenbanken,
Zugangskontrollsystemen.

Abweichungen werden dokumentiert. Bei Sicherheitsvorfällen wird geprüft, ob das betroffene Asset korrekt erfasst und klassifiziert war.

14.10 Schulung und Sensibilisierung

Alle Personen mit Verantwortung für die Verwaltung oder Pflege von Assets werden regelmäßig zu den Anforderungen dieser Richtlinie geschult. Themen umfassen:

Verantwortlichkeiten und Prozesse,
korrekte Dokumentation,
Meldepflichten bei Verlust oder Veränderung,
Umgang mit mobilen und privaten Geräten (BYOD).

15. Richtlinie zur Personalsicherheit (Human Resources Security)

15.1 Einleitung

Sicherheitsrisiken entstehen nicht nur durch technische Schwachstellen, sondern auch durch menschliches Verhalten. Daher ist es erforderlich, bereits im Personalmanagement klare Regeln zu definieren, um Informationssicherheit über den gesamten Lebenszyklus der Beschäftigung – von der Einstellung bis zum Austritt – zu gewährleisten.

Diese Richtlinie definiert Anforderungen an die Auswahl, Verpflichtung, Betreuung und Trennung von Mitarbeitenden mit Sicherheitsbezug. Sie zielt darauf ab, unbeabsichtigte Fehler, Missbrauch von Berechtigungen und absichtliche Sicherheitsverstöße frühzeitig zu verhindern und aufzudecken.

15.2 Zielsetzung

Ziel der Richtlinie ist es, sicherzustellen, dass:

alle Beschäftigten ihre sicherheitsbezogenen Pflichten kennen und einhalten,
die Vertrauenswürdigkeit von Mitarbeitenden mit sicherheitskritischem Zugriff überprüft wird,
der Zugriff auf Informationen und Systeme jederzeit dem Beschäftigtenstatus angepasst ist,
Sicherheitsverstöße schnell erkannt und behandelt werden können.

15.3 Geltungsbereich

Diese Richtlinie gilt für:

alle Beschäftigungsverhältnisse (Festangestellte, Praktikant:innen, Aushilfen),
ausgelagerte Mitarbeitende (z. B. Freelancer, Leihpersonal),
externe Dienstleister, die Zugriff auf interne Systeme, Daten oder Prozesse erhalten.

Sie bezieht sich auf den gesamten Zyklus der Zusammenarbeit:

vor der Einstellung,
während der Beschäftigung,
beim Austritt oder Rollenwechsel.

15.4 Sicherheitsanforderungen vor der Einstellung

Vor der Einstellung sicherheitskritischer Rollen sind folgende Maßnahmen durchzuführen:

Klar definierte Rollenprofile mit Sicherheitsanforderungen (z. B. Zugriffsklasse, kritische Systeme),
Vertrauensprüfung (z. B. polizeiliches Führungszeugnis, Bonitätsprüfung) – bei Zugang zu besonders sensiblen Informationen oder administrativen Rechten,
Verpflichtung auf die Sicherheitsrichtlinien bereits im Arbeitsvertrag (z. B. Geheimhaltung, Datenschutz),
Schulungskonzept zur Einführung mit Schwerpunkt auf relevante Sicherheitsvorgaben.

Diese Maßnahmen gelten analog für Dritte mit vergleichbarem Zugang.

15.5 Anforderungen während der Beschäftigung

Alle Mitarbeitenden sind verpflichtet, die geltenden Sicherheitsrichtlinien einzuhalten. Es gelten folgende Mindestanforderungen:

Teilnahme an regelmäßigen Schulungen zur Informationssicherheit,
unmittelbare Meldung von Sicherheitsvorfällen oder -verdachtsmomenten,
Verwendung ausschließlich genehmigter Geräte und Zugänge,
Pflicht zur Geheimhaltung sensibler Informationen auch außerhalb des Arbeitsplatzes (z. B. Homeoffice, Dienstreisen).

Vorgesetzte tragen die Verantwortung dafür, dass Mitarbeitende angemessen unterwiesen, unterstützt und kontrolliert werden. Sicherheitsvorfälle oder Regelverstöße sind an das IST zu melden.

15.6 Rollenwechsel und Zugriffsanpassung

Bei internen Wechseln oder veränderten Aufgaben wird geprüft:

ob bestehende Berechtigungen angepasst oder entzogen werden müssen,
ob neue Sicherheitsfreigaben erforderlich sind,
ob Schulungen entsprechend der neuen Rolle notwendig sind.

Die Umsetzung erfolgt innerhalb von fünf Werktagen und wird durch IT sowie Fachvorgesetzte dokumentiert.

15.7 Trennung und Austritt

Beim Austritt oder Vertragsende gelten folgende Maßnahmen:

Sperrung aller Benutzerkonten spätestens am letzten Arbeitstag,
Entzug von Zugriffsrechten auf Systeme, Gebäude und physische Assets,
Rückgabe sämtlicher Geräte, Schlüssel, Dokumente, Datenträger,
Prüfung auf ausstehende Schulden oder ausstehende Rückgaben,
Abschlussgespräch mit Hinweis auf weiterhin bestehende Vertraulichkeitspflichten.

Alle durchgeführten Maßnahmen werden im Austrittsprotokoll dokumentiert und archiviert.

15.8 Umgang mit sicherheitsrelevanten Auffälligkeiten

Sicherheitsrelevante Verhaltensweisen oder Auffälligkeiten (z. B. unautorisierte Datenweitergabe, bewusste Regelverstöße) werden gemäß Eskalationsverfahren behandelt. Es gelten folgende Schritte:

Meldung an das IST oder direkte Vorgesetzte,
Untersuchung durch autorisierte Stellen,
Dokumentation des Vorfalls und Risikoeinschätzung,
ggf. Suspendierung des Zugangs bei akuter Gefährdung,
disziplinarische oder arbeitsrechtliche Konsequenzen bei Bestätigung.

15.9 Schulung und Sensibilisierung

Sämtliche Mitarbeitenden sind zur regelmäßigen Teilnahme an Schulungsmaßnahmen verpflichtet. Inhalte umfassen u. a.:

Grundlagen der Informationssicherheit,
sicheres Verhalten im digitalen Raum,
Umgang mit Phishing und Social Engineering,
sichere Nutzung von IT-Systemen und Cloud-Diensten.

Sicherheitsrelevante Rollen (z. B. Administratoren, IT-Leitung, CISO) erhalten vertiefte Schulungen.

15.10 Dokumentation und Nachweis

Folgende Dokumente werden revisionssicher aufbewahrt:

Nachweise über Sicherheitsunterweisungen,
unterschriebene Verpflichtungserklärungen,
Freigabeprotokolle für Zugriffe,
Austritts- und Rollenwechselprotokolle,
Meldungen und Bearbeitungen von Sicherheitsauffälligkeiten.

16. Richtlinie zur physischen und umgebungsbezogenen Sicherheit

16.1 Einleitung

Physische und umgebungsbezogene Risiken – wie unbefugter Zutritt, Diebstahl, Feuer, Wasser, Sabotage oder Stromausfall – können Netz- und Informationssysteme unmittelbar gefährden. Diese Richtlinie definiert organisatorische und technische Maßnahmen zur Absicherung von Gebäuden, Räumen, Geräten und kritischer Infrastruktur. Ziel ist es, die Verfügbarkeit und Unversehrtheit der Systeme sowie den Schutz sensibler Informationen sicherzustellen.

16.2 Zielsetzung

Das Unternehmen verfolgt das Ziel, ihre physischen Standorte und die dort betriebenen technischen Ressourcen gegen unautorisierte Zugriffe und schädliche Umwelteinflüsse zu schützen. Dabei soll die Belastbarkeit gegenüber internen und externen Störungen erhöht und die Voraussetzungen für den kontinuierlichen Betrieb sichergestellt werden.

16.3 Geltungsbereich

Diese Richtlinie gilt für:

alle Gebäude, Räume und Flächen, die für den Betrieb informationstechnischer Systeme genutzt werden (z. B. Rechenzentren, Serverräume, Technikräume, Archive),
sämtliche Geräte mit sicherheitsrelevanter Funktion (z. B. Router, Firewalls, Zutrittskontrollsysteme),
Nebenräume mit erhöhtem Risiko (z. B. Stromversorgung, USV, Klimaanlagen),
mobile Betriebsstandorte und genutzte externe Einrichtungen (z. B. Co-Location, Cloud-Zugangsräume).

16.4 Zutrittskontrolle

16.4.1 Zutrittsregelung

Der physische Zutritt zu sicherheitsrelevanten Bereichen wird ausschließlich autorisierten Personen gewährt. Dafür gelten folgende Maßnahmen:

Einsatz elektronischer Zutrittskontrollsysteme mit Protokollierung,
Vergabe personalisierter Zugangsmittel (z. B. Karten, Tokens, biometrische Merkmale),
Festlegung und Dokumentation der Zutrittsberechtigung durch die jeweilige Bereichsleitung,
regelmäßige Prüfung und Sperrung veralteter oder ungenutzter Berechtigungen,
Besucher werden stets begleitet und müssen sich registrieren.

16.4.2 Zutrittsebenen

Zutritt wird in Schutzklassen eingeteilt, z. B.:

Zone 1 (öffentlich): Eingangsbereich, Empfang, Wartezonen
Zone 2 (intern): Büros, Besprechungsräume
Zone 3 (sensibel): IT- und Serverräume, Technikbereiche
Zone 4 (kritisch): Rechenzentren, Zutrittskontrolle mit zusätzlicher Authentifizierung

16.5 Schutz vor Umwelteinflüssen

Um physische Infrastruktur vor umgebungsbedingten Schäden zu schützen, gelten folgende Mindeststandards:

Brandschutz: Brandfrüherkennung (Rauchmelder), automatische Löschsysteme (Inertgas, nicht leitend), Handfeuerlöscher, jährliche Übungen.
Überspannungsschutz: Blitzschutzanlagen, USV-Systeme mit regelmäßigen Tests.
Klimatisierung: Temperaturüberwachung, Redundanz bei Kühlungssystemen.
Feuchtigkeitsschutz: Sensoren zur Wasserdetektion, Abdichtung gegen Leckage.
Stromversorgung: unterbrechungsfreie Stromversorgung (USV), Notstromgenerator bei Bedarf.
Zugang: Systeme und Leitungen sind vor physischen Manipulationen geschützt (z. B. abgeschlossene Kabelkanäle, Kameras).

16.6 Schutz mobiler Geräte und Homeoffice

Auch außerhalb der Betriebsstandorte gilt:

Endgeräte dürfen nur mit Genehmigung außerhalb der Unternehmensstandorte betrieben werden,
Notebooks und mobile Datenträger müssen physisch gesichert transportiert und aufbewahrt werden (z. B. abschließbare Taschen, keine offen gelagerten Geräte),
Geräte dürfen nicht unbeaufsichtigt in Fahrzeugen oder öffentlichen Räumen gelassen werden,
Homeoffice-Arbeitsplätze müssen über eine sichere Grundausstattung verfügen (z. B. abschließbarer Raum, WLAN-Verschlüsselung, keine Nutzung gemeinsam genutzter Rechner).

16.7 Videoüberwachung und Alarmsysteme

Kritische Bereiche (z. B. Zutrittspunkte zu Rechenzentren) werden videoüberwacht. Die Datenverarbeitung erfolgt im Einklang mit der DSGVO und ist dokumentiert. Zusätzlich werden Alarmsysteme für Einbruch, Feuer oder Sabotage eingesetzt und mit externen Interventionsdiensten verknüpft.

16.8 Betrieb externer Standorte und Dienstleister

Wird Infrastruktur bei Dienstleistern betrieben (z. B. Hosting, Cloud), müssen diese mindestens die gleichen physischen Sicherheitsmaßnahmen nachweisen. Die Anforderungen werden vertraglich geregelt und können durch Audits oder Fragebögen überprüft werden. Ein Notfallplan für den Ausfall des Dienstleisters ist vorzuhalten.

16.9 Dokumentation und Auditierung

Alle sicherheitsrelevanten Maßnahmen und Zutrittsberechtigungen werden dokumentiert. Protokolle werden mindestens 12 Monate aufbewahrt. Die physischen Sicherheitsmaßnahmen werden jährlich geprüft, im Rahmen interner Audits bewertet und ggf. verbessert. Festgestellte Mängel werden risikobasiert behandelt.

16.10 Schulung und Verantwortlichkeiten

Alle Mitarbeitenden erhalten beim Eintritt eine Einweisung in die Regeln zur physischen Sicherheit. Personen mit Zutritt zu besonders geschützten Bereichen werden regelmäßig geschult. Die Verantwortung für die Einhaltung dieser Richtlinie liegt bei der jeweiligen Bereichsleitung in Zusammenarbeit mit IT-Sicherheit und Facility Management.

===== Ende des Musters =====