Online IT Check Frech Michael 5.9.
Hinweise zur Nutzung! Es handelt sich hier um einen Selbsttest, der die Bereiche Basissicherheit, organisatorische Sicherheit und Rechtssicherheit betrachtet. Bei jeder Antwort ist ein Punktwert hinterlegt. Je höher dieser ausfällt umso besser ist Ihr Unternehmen in diesem Bereich aufgestellt. Aber Achtung! Der Test betrachtet nur einen sehr kleinen Bereich der IT- Sicherheit und soll Ihnen als Anhalt dienen. Beantworten Sie die Fragen ehrlich es geht um die Sicherheit Ihres Unternehmens. Fachbereich Basissicherheit (Frage bis 5). Sichern Sie regelmäßig Ihre Unternehmensdaten? Ja, es erfolgt eine regelmäßige Datensicherung. Ja, es erfolgt eine Datensicherung, jedoch in unregelmäßigen Abständen Ja, es erfolgt eine Datensicherung, jedoch nur alle -6 Monate. Nein, es erfolgt keine Datensicherung. Wenn keine Datensicherung erfolgt geht es weiter mit der Frage. Erläuterung zu Frage Die Sicherung der Unternehmensdaten bedeutet das Kopieren der Daten (wie Kundendaten, Rechnungsdaten und wichtige Geschäftsdaten) auf ein Medium (z.b. externe Festplatte, Sicherungsbänder, CD) zu übertragen und diese im Bedarfsfall jederzeit zurückspielen zu können.. Wie erfolgt die Sicherung der Daten in Ihrem Unternehmen? Die Datensicherung erfolgt auf optischen Speichermedien, wie z.b. CD, DVD oder USB- Stick. Die Datensicherung erfolgt auf einer externen Festplatte. Die Datensicherung wird regelmäßig auf einem Fileserver angelegt. Die Datensicherung wird regelmäßig auf einem Fileserver angelegt. Die Daten des Fileservers werden regelmäßig auf einem externen Speichermedium gesichert. Seite von 9
. Welche Maßnahmen haben Sie gegen Computerschädlinge getroffen? Es wurden keine Maßnahmen getroffen, bzw. nur der Server ist abgesichert. Auf den PCs der Mitarbeiter sind vereinzelt Antivirenprogramme installiert. Auf jedem PC ist ein Antivirenprogramm installiert. Dieses wird regelmäßig aktualisiert. Auf jedem PC ist ein Antivirenprogramm installiert. Zusätzlich sind die Server mit entsprechender Software abgesichert. Für eine regelmäßige Aktualisierung wird gesorgt. Erläuterung zu Frage Computerschädlinge auch Malware genannte, sind z.b. Viren Trojaner und Würmer, die die Leistung Ihrer Rechner beeinträchtigen können oder als Folge eines Befalls das System unbrauchbar machen. 4. Aktualisieren Sie regelmäßig Ihre Betriebssysteme bzw. die Anwendungsprogramme? Unregelmäßig Regelmäßig einmal im Monat. sofort nach dem bekannt werden. sofort nach dem bekannt werden. Zuvor wird allerdings ein Testlauf der neuen Updates auf einem Rechner durchgeführt. Erläuterung zu Frage 4 Eine Aktualisierung der Anwendungsprogramme ist das Einspielen von Updates in vorhandene Programme. Neben Verbesserungen werden hierdurch auch Sicherheitslücken geschlossen. Seite von 9
5. Wie sichern Sie Ihr Firmennetzwerk ab? In unserem Unternehmen gibt es ein gemeinsames Netzwerk, eine Firewall setzten wir nicht ein. In unserem Unternehmen gibt es ein gemeinsames Netzwerk, das über eine Firewall abgesichert ist, wobei wir nur über ein kabelgebundenes Netzwerk (LAN) verfügen. In unserem Unternehmen gibt es ein gemeinsames Netzwerk, das über eine Firewall abgesichert ist, wobei wir auch über ein drahtloses Netzwerk (WLAN) im Einsatz haben. Wir betreiben nur Stand-alone PCs, eine Firewall setzen wir nicht ein. Wir betreiben nur Stand-alone PCs, die wir jeweils mit einer persönlichen Firewall abgesichert haben. Erläuterung zu Frage 5 Als Firmennetzwerk wird die gesamte Kommunikations-Infrastruktur innerhalb Ihrer Organisation gesehen. Beginnend von allein stehenden PC oder mobilen Endgeräten bis hin zu kabelgebundenen Netzwerken (LANs) oder drahtlosen Netzwerken (WLAN). Fachbereich organisatorische Sicherheit (Frage 6 bis ) 6. Erfolgt eine Unterweisung der Mitarbeiter? Es existiert kein Schulungsplan, Anfragen erfolgen nur vereinzelt. Es existiert kein Schulungsplan, die Mitarbeiter werden aber immer wieder dazu aufgefordert Weiterbildungsmaßnahmen zu besuchen. Alle Mitarbeiter sind verpflichtet, mindestens einmal im Jahr eine Interne oder externe Weiterbildung zu absolvieren. Das Thema können Sie in einem gewissen Rahmen selbst aussuchen. Es existieren klare Vorgaben, welche Weiterbildungsmaßnahmen von den Mitarbeitern besucht werden müssen. Das Thema Sicherheit bildet in diesem Zusammenhang einen festen Bestandteil. Erläuterung zu Frage 6 Mit dem Umfeld der Sicherheit sind Informationen zur Datensicherheit, Datenschutz, dem Umgang mit Firmeneigentum und der Befolgung von Sicherheitsprinzipien (z.b. Bildschirmsperre am Arbeitsplatz) gemeint. Seite von 9
7. Gibt es eine Sicherheitsrichtlinie und was ist darin geregelt? Es existiert eine Sicherheitsrichtlinie, die den Mitarbeitern nicht extra kommuniziert wurde. Es existiert eine Sicherheitsrichtlinie, die regelmäßig Inhalt interner Informationsveranstaltungen ist. Es existiert eine Sicherheitsrichtlinie, die regelmäßig Inhalt interner Informationsveranstaltungen ist und deren Einhaltung alle Angestellten schriftlich bestätigen müssen. Es existieren keine schriftlich fixierten Regelungen hinsichtlich der Nutzung von EDV- und TK- Infrastruktur. Erläuterung zu Frage 7 Eine Sicherheitsrichtlinie beinhaltet bindende Angaben über das Verhalten am Arbeitsplatz. In der Richtlinie wird geregelt, wie sich Mitarbeiter im Umfeld IT- Sicherheit zu verhalten haben. 8. Wie sind die Zugriffsrechte geregelt? Jeder Benutzer des Netzwerks hat uneingeschränkten Zugriff auf interne Informationen. Die Zugriffsrechte innerhalb des Unternehmens sind in Nutzergruppen unterteilt, angepasste Nutzungsrechte haben nur Einzelpersonen. Für den Freigabeprozess gibt es keinen eindeutigen Verantwortlichen, es gibt weder genauere Regelungen noch Vorschriften. Die Zugriffsrechte innerhalb des Unternehmens werden für jeden Angestellten speziell geregelt. Der Freigabeprozess ist klar geregelt und richtet sich nach dem Ermessen des Freigabe-Verantwortlichen. Die Zugriffsrechte innerhalb des Unternehmens werden für jeden Angestellten speziell geregelt. Dafür wurden Verantwortliche benannte und ein eigner Freigabeprozess etabliert, der allen Mitarbeitern bekannt ist. Seite 4 von 9
9. Wie erfolgt die Verschlüsselung der Datenträger? Es wird keine Verschlüsselung eingesetzt. Die Verschlüsselung der Datenträger erfolgt durch den Einsatz einer Software. Die Verschlüsselungsrate ist mir nicht bekannt oder beträgt weniger als 8 Bit. Die Verschlüsselung der Datenträger erfolgt durch den Einsatz einer Software. Die Verschlüsselungsrate ist mir nicht bekannt oder beträgt 8 Bit oder mehr. Die Verschlüsselung der Datenträger erfolgt hardwareseitig. Um Zugriff zu erhalten wird ein elektronischer Schlüssel (sog. Token) benötigt, der den Benutzer klar identifiziert Erläuterung zu Frage 9 Mit einer Verschlüsselung wird Dritten der Zugriff auf Daten erschwert bzw. unmöglich gemacht.. Wurden schon Risikoanalysen durchgeführt? Bisher wurde keine Risikoanalyse durchgeführt. Für besonders kritische Prozesse und Abläufe gibt es Risikoanalysen. Diese wurden intern, d.h. ohne externe Hilfe erstellt. Für alle Prozesse und Abläufe gibt es Risikoanalysen. Diese wurden intern, d.h. ohne externe Hilfe erstellt. Für alle Prozesse und Abläufe gibt es Risikoanalysen. Diese wurden mit Hilfe externer Berater in Zusammenarbeit mit den Mitarbeitern erstellt. Erläuterung zu Frage Unter einer Risikoanalyse versteht man die Identifikation und Bewertung von Risken auf das Unternehmen. Seite 5 von 9
Fachbereich Rechtssicherheit (Frage bis 5) Ja Nein. Haben zehn oder mehr Mitarbeiter Zugriff auf personenbezogene Daten Ihrer Mitarbeiter, Kunden oder Lieferanten? Wenn Nein gehen Sie bitte weiter zur Frage. Haben Sie einen Datenschutzbeauftragten bestellt? Ja, es wurde ein Mitarbeiter schriftlich als Datenschutzbeauftragter bestellt und diese Person verfügt über eine spezielle Ausbildung. Ja, ein Mitarbeiter kümmert sich zusätzlich zu seinem normalen Aufgabenbereich um das Thema Datenschutz. Das Thema Datenschutz wird von einem Mitglied der Geschäftsführung oder der IT- Abteilung nebenbei mit bearbeitet. Nein, es wurde kein Datenschutzbeauftragter bestellt. Erläuterung zu Frage Ein Datenschutzbeauftragter stellt die Einhaltung der gesetzlichen Bestimmungen zum Umgang mit personenbezogenen Daten gemäß dem BDSG sicher. Seite 6 von 9
. Werden Sie über gesetzliche Änderungen frühzeitig informiert? Unser Unternehmen verfügt über einen ausgebildeten Juristen, der dieses Thema vollumfänglich für uns bearbeitet. Wir haben einen Juristen vertraglich an uns gebunden, der zeitgerecht derartige Informationen an uns weitergibt. Unser Steuerberater informiert uns regelmäßig und zuverlässig über Veränderungen der Gesetzeslage. Wir werden durch die zuständigen Kammern (IHK oder HWK) bzw. Verbände informiert. Wir kümmern uns aus eigner Kraft um dieses Thema. Erläuterung zu Frage Sollten Sie mehr als eine Informationsquelle nutzen, dann entscheiden Sie sich bitte für die jenige Antwort, durch die Sie regelmäßig informiert werden. 4. Haben Sie IT- Leistungen an einen Dienstleister ausgelagert? Ja Nein Wenn Nein ist für Sie der Selbsttest nun beendet, bei Ja gehen Sie bitte zur Frage 5. 5. Haben Sie mit Ihrem IT- Dienstleister vertraglich fixiert, welche Leistungen dieser durchführen muss und welche Erreichbarkeit er Ihnen zusichert? Es wurde schriftlich geregelt, welche organisatorischen und technischen Maßnahmen durch den Partner erfüllt werden. Dieser Vertrag wurde durch einen Juristen erstellt bzw. qualitätsgesichert. Auf der Basis eines selbst erstellten Dokuments wurden die Rahmenbedingungen für die Zusammenarbeit geregelt Die Zusammenarbeit kam per Handschlag zustande. Weitere Absprachen wurden nicht getroffen. Seite 7 von 9
Auswertung Online IT- Check Fachbereich Basissicherheit (Frage bis 5) Punkte bis 8 bis bis 7 Ergebnis In allen abgefragten Bereichen haben Sie die richtigen Maßnahmen getroffen bzw. eingeleitet um eine Basissicherheit herzustellen. Sie sind auf dem richtigen Weg. Allerdings zeigt ihre Basissicherheit noch Mängel auf. Diese sollten Sie umgehend abstellen. Sie sollten sich dringend mit dem Thema Datensicherheit beschäftigen. Fachbereich organisatorische Sicherheit (Frage 6 bis ) Punkte bis 8 bis bis 7 Ergebnis Sie haben für die organisatorische Sicherheit in Ihrem Unternehmen die richtigen Schritte eingeleitet. Sie befinden sich auf dem richtigen Weg, allerdings müssen Sie noch an den Prozessabläufen arbeiten. Sie sollten sich dringend mit dem Thema der organisatorischen Datensicherheit in Ihrem Unternehmen beschäftigen. Fachbereich Rechtssicherheit (Frage bis 5) Punkte 5 bis 6 4 bis 5 bis Ergebnis Ihre Rechtssicherheit steht auf einer guten Grundlage. Ihre Rechtsicherheit ist verbesserungswürdig und zeigt Mängel auf, um eventuelle Rechtsverletzungen aufzufangen sollten Sie an der Verbesserung der Informationswege arbeiten. Um Ihre Rechtssicherheit ist es nicht gut bestellt, Es besteht die Gefahr, dass Sie rechtliche Vorgaben bzw. Änderungen nicht mitbekommen und somit gegen gültige Gesetzte verstoßen. Gerade im Vertragsrecht steckt der Fehler im Detail. Ein Service von www.ihre-datensicherheit.de Seite 8 von 9