Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

« Vorherige Version anzeigen Version 2 Nächste Version anzeigen »

Software: Rechner-Programme, mobile Apps und Internet-Anwendungen

NrZielobjektAnforderungErläuterungGeltung abweitere Hinweise etc.
1.Mobile Anwendungen (Apps)Sichere Apps nutzen

Nur Apps aus den offiziellen Stores runterladen und nutzen.

Wenn nicht mehr benötigt, Apps restlos löschen

01.04.2021selbsterklärend?
2.Mobile Anwendungen (Apps)Aktuelle App-VersionenUpdates immer zeitnah installieren, um Schwachstellen zu vermeiden.01.04.2021
  • Autoupdates aktivieren
3.Mobile Anwendungen (Apps)Sichere Speicherung lokaler App-DatenNur Apps nutzen, die Dokumente verschlüsselt und lokal abspeichern.01.01.2022
  • Verschlüsselung von Android/ IOS aktivieren
4.Mobile Anwendungen (Apps)Verhinderung von DatenabflussKeine vertraulichen Daten über Apps versenden.01.04.2021

  • Um zu verhindern, dass Apps ungewollt vertrauliche Daten versenden oder aus den gesendeten Daten Benutzerprofile erstellt werden, muss der Datenversand entsprechend eingeschränkt werden.

  • Vor der App-Benutzung sollte überprüft werden, ob eine App ungeschützte Protokollierungs- oder Hilfsdateien schreibt, die vertrauliche Informationen enthalten.

5.Office-ProdukteVerzicht auf Cloud-SpeicherungKeine Nutzung der in Office-Produkte integrierte Cloud-Speicher zur Speicherung personenbezogener Informationen01.04.2021
  • initial konfigurieren und beachten
6.Office-Produkte

Beseitigung von Rest-Informationen

vor Weitergabe von Dokumenten

Vertrauliches aus Dokumenten löschen vor einer Weitergabe an Dritte.01.04.2021
  • initial konfigurieren und beachten
7.Internet-AnwendungenAuthentisierung bei WebanwendungenNutzen Sie nur Internet-Anwendungen, die ihre Zugänge (Login-Seite und -Ablauf, Passwort, Benutzerkonto etc.) strikt absichern.01.04.2021
  • Anforderung an Anbieter -> Bei der Bereitstellung von Internet-Anwendungen beachten
8.Internet-AnwendungenSchutz vertraulicher DatenStellen Sie ihren Internet-Browser gem. Hersteller-Anleitung so ein, dass keine vertraulichen Daten im Browser gespeichert werden.01.04.2021
  • initial konfigurieren und beachten
  • Strg + Umschalt + Entf: Löschen der Browserdaten
9.Internet-AnwendungenFirewall benutzenVerwendung und regelmäßiges Update einer Web App Firewall.01.01.2022
  • Anforderung an Anbieter -> Bei der Bereitstellung von Internet-Anwendungen beachten
10.Internet-AnwendungenKryptografische Sicherung vertraulicher DatenNur verschlüsselte Internet-Anwendungen nutzen.01.04.2021
  • Auf https achten, Plug-In/ Erweiterung wie HTTPS Everywhere verwenden
11.Internet-Anwendungen

Schutz vor unerlaubter automatisierter

Nutzung von Webanwendungen

Keine automatisierten Zugriffe bzw. Aufrufe auf Webanwendungen einrichten oder zulassen.01.01.2022
  • Anforderung an Anbieter -> Bei der Bereitstellung von Internet-Anwendungen beachten

Hardware: Endgeräte und IT-Systeme

NrZielobjektAnforderungErläuterungGeltung abweitere Hinweise etc.
12.EndgeräteVerhinderung der unautorisierten Nutzung von Rechner-Mikrofonen und KamerasMikrofon und Kamera am Rechner sollten grundsätzlich deaktiviert sein und nur bei Bedarf temporär direkt am Gerät aktiviert und danach wieder deaktiviert werden.01.04.2021selbsterklärend?
13.EndgeräteAbmelden nach AufgabenerfüllungNach Ende der Nutzung immer den Zugang zum Gerät sperren oder Abmelden.01.04.2021

z.B. 'Windows' + 'L'

oder 'logout'

14.EndgeräteRegelmäßige DatensicherungSichern Sie regelmäßig Ihre Daten.01.01.2022

Schützen Sie Ihre Daten durch ein Backup vor Ausfällen von Hard- und Software sowie Verschlüsselungstrojaner.

Erstellen Sie eine Plan welche Daten wie oft gesichert werden sollen. Kombinieren Sie vollständige Backups und inkrementelle Backups, die nur die zwischenzeitlichen Änderungen aufnehmen.

Prüfen Sie regelmäßig, ob sich die Backups fehlerlos wieder zurückspielen lassen.

Schützen Sie auch Ihre Backups vor Verlust und ungewolltes überschreiben.

15.EndgeräteEinsatz von Viren-SchutzprogrammenSetzen Sie aktuelle Virenschutzprogramme ein.01.04.2021selbsterklärend?
16.

Endgeräte mit dem

Betriebssystem Windows

Konfiguration von SynchronisationsmechanismenDie Synchronisierung von Nutzerdaten mit Microsoft-Cloud-Diensten sollte vollständig deaktiviert werden.01.01.2022
  • initial konfigurieren und beachten
17.

Endgeräte mit dem

Betriebssystem Windows

Datei- und FreigabeberechtigungenRegeln Sie Berechtigungen und Zugriffe pro Personengruppe und pro Person.01.01.2022
  • Regeln Sie die Berechtigungen nach dem Need-to-know-Prinzip. D. h. Jede Person sollte nur so viel Berechtigungen, wie zur Bewältigung der Aufgaben nötig sind, auf Datei und Verzeichnisebene erhalten.
18.

Endgeräte mit dem

Betriebssystem Windows

DatensparsamkeitVerwenden Sie so wenige persönliche Daten wie möglich.01.01.2022selbsterklärend?
19.Smartphone und TabletSchutz vor Phishing und Schadprogrammen im BrowserNutzen Sie aktuelle Schutzprogramme vor Phishing und Schadprogrammen im Browser.01.04.2021

  • Alle mobilen Endgeräte sollten vor Schadprogrammen geschützt werden. Im verwendeten Browser sollte die
    Funktion „Safe Browsing“ bzw. die Funktion zur Warnung vor schädlichen Inhalten aktiviert werden.

20.Smartphone und TabletVerwendung der SIM-Karten-PINSIM-Karten durch PIN schützen. Super-PIN/PUK nur durch Verantwortliche anzuwenden.01.04.2021

  • Die Nutzung der SIM-Karte der Institution sollte durch eine PIN geschützt werden. Die Super-PIN/PUK sollte nur
    im Rahmen der definierten Prozesse von den Verantwortlichen benutzt werden.

21.Smartphone und TabletSichere Grundkonfiguration für mobile GeräteAuf mobilen Endgeräten sollten die strengsten bzw. sichersten Einstellungen gewählt werden, weil auch auf mobilen Geräte das erforderliche Schutzniveau für die verarbeiteten Daten sichergestellt werden muss.01.01.2022

  • Alle mobilen Endgeräte müssen so konfiguriert sein, dass sie das erforderliche Schutzniveau angemessen erfüllen.
    Dafür muss eine passende Grundkonfiguration der Sicherheitsmechanismen und -einstellungen zusammengestellt und dokumentiert werden. Nicht benötigte Funktionen sollten deaktiviert werden. Die Freischaltung von Kommunikationsschnittstellen muss geregelt und auf das dienstlich notwendige Maß reduziert werden. Nicht benutzte Schnittstellen sollten deaktiviert werden.

22.Smartphone und TabletVerwendung eines ZugriffschutzesSchützen Sie Ihre Geräte mit einem komplexen Gerätesperrcode.01.04.2021

  • Smartphones und Tablets müssen mit einem angemessen komplexen Gerätesperrcode geschützt werden.

  • Die Nutzung der Bildschirmsperre muss vorgeschrieben werden.

  • Die Anzeige von vertraulichen Informationen auf
    dem Sperrbildschirm muss deaktiviert sein.

  • Alle mobilen Geräte müssen nach einer angemessen kurzen Zeitspanne selbsttätig die Bildschirmsperre aktivieren.

  • Nach mehreren fehlgeschlagenen Versuchen, den Bildschirm zu entsperren, sollte sich das mobile Gerät in den
    Werkszustand zurücksetzen.

  • Es sollten dabei die Daten oder die Verschlüsselungsschlüssel sicher vernichtet werden.

23.Smartphone und TabletUpdates von Betriebssystem und AppsUpdates des Betriebssystems und der eingesetzten Apps bei Hinweis auf neue Versionen immer zeitnah installieren, um Schwachstellen zu vermeiden. Legen Sie zusätzlich einen festen Turnus (z.B. monatlich) fest, in dem das Betriebssystem und alle genutzten Apps auf neue Versionen geprüft werden.01.04.2021vgl. Anlage 1 - Anforderung Nr. 2
24.Smartphone und TabletDatenschutz-EinstellungenDer Zugriff von Apps und Betriebssystem auf Daten und Schnittstellen Ihrer Geräte sollten Sie in den Einstellungen restriktiv auf das Notwendigste einschränken.01.01.2022

  • Der Zugriff von Apps und Betriebssystem auf Daten und Schnittstellen muss angemessen eingeschränkt werden.

  • Die Datenschutzeinstellungen müssen so restriktiv wie möglich konfiguriert werden. Insbesondere der Zugriff auf
    Kamera, Mikrofon sowie Ortungs- und Gesundheits- bzw. Fitnessdaten muss auf Konformität mit den organisationsinternen Datenschutz- und Sicherheitsvorgaben überprüft und restriktiv konfiguriert bzw. deaktiviert werden.

25.MobiltelefonSperrmaßnahmen bei Verlust eines MobiltelefonsBei Verlust eines Mobiltelefons muss die darin verwendete SIM-Karte zeitnah gesperrt werden. Hinterlegen Sie die dafür notwendigen Mobilfunkanbieter-Informationen, um sie bei Bedarf im Zugriff zu haben.01.01.2022
  • selbsterklärend?
26.MobiltelefonNutzung der Sicherheitsmechanismen von MobiltelefonenAlle verfügbaren Sicherheitsmechanismen sollten auf den Mobiltelefonen genutzt und als Standard-Einstellung vorkonfiguriert werden.01.01.2022

  • Die verfügbaren Sicherheitsmechanismen sollten auf den Mobiltelefonen genutzt und vorkonfiguriert werden.

  • Die SIM-Karte sollte durch eine sichere PIN geschützt werden.

  • Das Mobiltelefon sollte durch einen Geräte-Code geschützt werden.

  • Falls möglich, sollte das Gerät an die SIM-Karte gebunden werden (SIM-Lock).

  • Die Benutzer sollten über diese Sicherheitsmechanismen informiert werden.

27.MobiltelefonUpdates von MobiltelefonenEs sollte regelmäßig geprüft werden, ob es Softwareupdates für die Mobiltelefone gibt.01.04.2021

vgl. Anlage 1 - Anforderung Nr. 2 und Nr. 23

28.Wechseldatenträger / SpeichermedienSchutz vor SchadsoftwareWechseldatenträger müssen bei jeder Verwendung mit einem aktuellen Schutzprogramm auf Schadsoftware überprüft werden.01.01.2022
  • selbsterklärend?
29.Wechseldatenträger / SpeichermedienAngemessene Kennzeichnung der Datenträger beim VersandEindeutige Kennzeichnung für Empfänger, aber keine Rückschlüsse für andere ermöglichen.01.04.2021
  • selbsterklärend?
30.Wechseldatenträger / SpeichermedienSichere Versandart und VerpackungVersand-Anbieter mit sicherem Nachweis-System, Manipulationssichere Versandart und Verpackung.01.04.2021
  • selbsterklärend?
31.Wechseldatenträger / SpeichermedienSicheres Löschen der Datenträger vor und nach der VerwendungDatenträger nach Verwendung immer sicher und vollständig Löschen. Ihr Rechner bietet dafür verschiedene Möglichkeiten.01.01.2022

  • Bevor wiederbeschreibbare Datenträger weitergegeben, wiederverwendet oder ausgesondert werden, sollten
    sie in geeigneter Weise gelöscht werden. Die Institution sollte den Mitarbeitern dafür geeignete Programme zur
    Verfügung stellen.

32.NetzwerksicherheitAbsicherung der NetzübergangspunkteDer Übergang zu anderen Netzen insbesondere das Internet muss durch eine Firewall geschützt werden.01.04.2021
  • selbsterklärend?
  • nur erlaubte Kommunikationsziele zulassen (eingehend und ausgehend)
  • nur erlaubte Kommunikationsprotokolle zulassen
33.NetzwerksicherheitDokumentation des NetzesDas interne Netz ist inklusive eines Netzplanes zu dokumentieren.01.04.2021
  • logische Struktur des Netzes insbesondere Subnetze uns wie das Netzt zoniert und segmentiert wird.
  • Dokumentation von Änderungen im Netz
34.NetzwerksicherheitGrundlegende Authentisierung für den Netzmanagement-Zugriff

Für den Management-Zugriff auf Netzkomponenten und auf Managementinformationen muss eine geeignete
Authentisierung verwendet werden.

01.01.2022

  • Für den Management-Zugriff auf Netzkomponenten und auf Managementinformationen muss eine geeignete
    Authentisierung verwendet werden.

  • Alle Default-Passwörter müssen
    auf den Netzkomponenten geändert werden.

  • Die neuen Passwörter müssen ausreichend stark sein.