Wiederherstellungspl\u00e4ne<\/span> <\/li>\n<\/ul>\n\n\n\nBleibt noch die Frage zu kl\u00e4ren, was eigentlich als \u201ckritisch\u201d einzustufen ist. Dazu definiert man am besten die maximal tolerierbare Ausfallzeit (MTA) f\u00fcr IT-Systeme, Anwendungen und IT-Infrastrukturen. Beispielsweise k\u00f6nnte festgelegt werden, dass f\u00fcr alle Systeme, bei denen die MTA 24 Stunden betr\u00e4gt, Redundanzen aufgebaut werden m\u00fcssen und ein Notfallplan vorhanden sein muss.<\/p>\n\n\n\n
Dokumentierte \u00dcbungen runden das Bild ab und liefern den notwendigen Nachweis im Audit.<\/p>\n\n\n\n
A.7.4 Physical security monitoring<\/h3>\n\n\n\nBeschreibung<\/h4>\n\n\n\n
A.7.4 Physical security monitoring beschreibt die Anforderungen an die \u00dcberwachung der physischen Sicherheit von Informationssystemen. Dies betrifft insbesondere die Zug\u00e4nge zu Geb\u00e4uden, in denen kritische Systeme untergebracht sind. Hier muss eine kontinuierliche \u00dcberwachung stattfinden. Dies kann z.B. durch Video\u00fcberwachung oder einen Wachdienst gew\u00e4hrleistet werden. Weniger aufw\u00e4ndige M\u00f6glichkeiten sind z.B. die Installation von Kontakt-, Schall- oder Bewegungsmeldern.<\/p>\n\n\n\n
Umsetzungshinweise<\/h4>\n\n\n\n
Sp\u00e4testens wenn es um den Betrieb eines Server- oder Technikraumes in den eigenen R\u00e4umlichkeiten geht, kommt man in den meisten F\u00e4llen nicht um eine \u00dcberwachung mittels Kamerasystemen herum, um unbefugten Zutritt oder verd\u00e4chtiges Verhalten schnellstm\u00f6glich zu erkennen.<\/p>\n\n\n\n
Die f\u00fcr eine Video\u00fcberwachung notwendigen zentralen Technikkomponenten sollten in einer geeigneten Umgebung gesch\u00fctzt aufgestellt werden. Es sollte regelm\u00e4\u00dfig \u00fcberpr\u00fcft werden, ob die Video\u00fcberwachungsanlage ordnungsgem\u00e4\u00df funktioniert und ob die datenschutzkonformen Blickwinkel eingehalten werden.<\/p>\n\n\n\n
Wenn eine kontinuierliche \u00dcberwachung der R\u00e4umlichkeiten als nicht durchf\u00fchrbar oder nicht erforderlich erachtet wird, sollte dies in einem Risiko festgehalten und bewertet werden. Dies kann z. B. der Fall sein, wenn im Geb\u00e4ude keine kritische IT-Infrastruktur betrieben wird und keine sensiblen Daten in gr\u00f6\u00dferem Umfang verarbeitet werden.<\/p>\n\n\n\n
A.8.9 Configuration management<\/h3>\n\n\n\nBeschreibung<\/h4>\n\n\n\n
Der sichere IT-Betrieb basiert im Wesentlichen auf der sicheren Konfiguration von Hardware, Software, Diensten und Netzwerken. Daher sollten f\u00fcr wichtige Systemgruppen sichere Standardkonfigurationen definiert werden. Bei der Erstellung dieser Konfigurationen sind u.a. eigene Richtlinien, Herstellervorgaben und andere Best Practices zu ber\u00fccksichtigen.<\/p>\n\n\n\n
Zum Konfigurationsmanagement geh\u00f6rt nat\u00fcrlich nicht nur die Erstellung, sondern auch die \u00dcberwachung, ob Standardkonfigurationen verwendet oder ver\u00e4ndert wurden.<\/p>\n\n\n\n
Auch die Systemh\u00e4rtung ist ein typischer Bestandteil des Konfigurationsmanagements.<\/p>\n\n\n\n
Umsetzungshinweise<\/h4>\n\n\n\n
F\u00fcr Systeme oder Gruppen von Systemen, die sensible Informationen verarbeiten oder f\u00fcr kritische Gesch\u00e4ftsprozesse erforderlich sind, sollte eine Standardkonfiguration (Baseline) auf der Grundlage bew\u00e4hrter Best Practices festgelegt und verwendet werden. Die Standardkonfiguration sollte z.B. folgende Aspekte ber\u00fccksichtigen<\/p>\n\n\n\n
\n- Die Anzahl der Benutzer mit privilegierten oder administrativen Zugriffsrechten sollte auf ein Minimum beschr\u00e4nkt werden.<\/span> <\/li>\n\n\n\n
- Unn\u00f6tige, ungenutzte oder unsichere Benutzer sollten deaktiviert werden.<\/span> <\/li>\n\n\n\n
- Unn\u00f6tige Funktionen und Dienste sollten deaktiviert werden, um die Angriffsfl\u00e4che zu minimieren (H\u00e4rtung).<\/span> <\/li>\n\n\n\n
- Standard-Authentifizierungsinformationen (z.B. Standardpassw\u00f6rter) sollten unmittelbar nach der Installation ge\u00e4ndert werden.<\/span> <\/li>\n\n\n\n
- Einrichtung von \u201cTimeouts\u201d, um Benutzer nach einer bestimmten Zeit der Inaktivit\u00e4t automatisch abzumelden.<\/span> <\/li>\n<\/ul>\n\n\n\n
Wo immer m\u00f6glich, sollte Automatisierung eingesetzt werden, um sicherzustellen, dass IT-Systeme einheitlich und sicher konfiguriert sind und \u00c4nderungen erkannt und dokumentiert werden. Tools f\u00fcr diesen Zweck sind beispielsweise Ansible, HashiCorp Terraform, Chef, Puppet, AWS Config, AWS Cloudformation, Microsoft Endpoint Manager und Jamf.<\/p>\n\n\n\n
Teil 2<\/a> besch\u00e4ftigt sich mit den folgenden Anforderungen der neuen ISO 27001:2022 und gibt hilfreiche Umsetzungstipps.<\/strong><\/p>\n\n\n\n\n- A.8.10 Information deletion<\/li>\n\n\n\n
- A.8.11 Data masking<\/li>\n\n\n\n
- A.8.12 Data leakage prevention<\/li>\n\n\n\n
- A.8.16 Monitoring activities<\/li>\n\n\n\n
- A.8.23 Web filtering<\/li>\n\n\n\n
- A.8.28 Secure coding<\/li>\n<\/ul>\n\n\n\n