Zum Hauptinhalt springen
neuer Check
Check herunterladen
Check hochladen
PDF-Bericht erzeugen

Herzlich willkommen beim CYBERsicher Check!

Auf dieser Seite haben Sie die Möglichkeit Ihren IT-Sicherheitsstatus selbstständig zu bewerten und erste Handlungsempfehlungen zur Erhöhung der Resilienz gegenüber Cyberangriffen zu erhalten.

Wie funktioniert das Tool?

Unter - Name des Checks - tragen Sie bitte einen beliebigen Projektnamen ein. Ihr Fortschritt wird stets aktuell zwischengespeichert. Sie können sich diesen über die am Seitenanfang befindlichen Optionen selbst speichern sowie dann auch später wieder hochladen.

Die Mouse-Over-Effekte zu den Thesen und Antwortmöglichkeiten sollen Ihnen helfen, ein möglichst realistisches Bild über Ihren IT-Sicherheitsstatus zu erstellen.

Einen Bericht können Sie sich zu einzelnen Fachthemen oder aber auch als Gesamtbericht im PDF- Format erzeugen. Dazu werden Ihnen auf Ihre Antworten bezogen, entsprechende Maßnahmen und Handlungsempfehlungen zur Erhöhung der Widerstandsfähigkeit gegenüber Cyberangriffen zur Verfügung gestellt.

Nach welchem System erfolgt die Bewertung?

Die Bewertung erfolgt anhand des Notensystems. Die Note 1 steht hierbei für die beste und die Note 6 für schlechteste Bewertung.

Name des Checks

Unternehmensdaten

Wie viele Beschäftigte haben Sie?
Wie lautet die Postleitzahl Ihres Hauptsitzes?
In welcher Branche ist Ihr Unternehmen tätig?
Wie viele Personen nutzen in Ihrem Unternehmen, Ihrer Organisation oder Ihrem Berufsnetzwerk einen Internetzugang für berufliche Zwecke?

Zusätzlich zu den nachfolgend aufgeführten Maßnahmen verweisen wir auf weitere informative Materialien.

Informationssicherheit

Die Unternehmensleitung verpflichtet sich schriftlich zur Informationssicherheit und der damit erstellten Sicherheitsrichtlinie und dem -prozess.
1

Formulierung klarer, umfassender Richtlinien für die Informationssicherheit.

2

Systematische Erfassung und Bewertung potenzieller Sicherheitsrisiken.

3

Umsetzung geeigneter Technologien und Verfahren zur Risikominderung.

4

Etablierung von Überwachungs- und Berichtsverfahren zur Sicherheitskontrolle.

5

Kontinuierliche Ausbildung der Mitarbeiter in Informationssicherheitspraktiken.

Es existieren Definitionen von Sicherheitsvorfällen, die bei allen Mitarbeitern bekannt sind und gelebt werden.
1

Training der Mitarbeiter im Erkennen und Melden von Sicherheitsvorfällen.

2

Systematische Auswertung und Dokumentation von Sicherheitsvorfällen zur Verbesserung der Prävention.

3

Einrichtung eines einfachen, effektiven Systems zur Meldung von Sicherheitsvorfällen.

4

Festlegung spezifischer Kriterien, was als Sicherheitsvorfall gilt.

5

Erstellen von Richtlinien zur internen und externen Kommunikation bei Vorfällen.

Im Unternehmen ist ein lebendiges Informationssicherheitsmanagementsystem etabliert.
1

Regelmäßige interne und externe Audits zur Einhaltung von Sicherheitsstandards.

2
Laufende Schulungen und Sensibilisierung für Informationssicherheit.
3

Kontinuierliche Bewertung und Aktualisierung der Informationssicherheitsrisiken.

4

Entwickeln und Testen eines effektiven Vorfallsreaktionsplans.

5
Ermutigung zu Mitarbeiter-Feedback und kontinuierlicher Verbesserung im Sicherheitsmanagement.
Für das Unternehmen ist ein Informationssicherheitsbeauftragter bestellt und aktiv im Einsatz.
1

Ständige Aktualisierung und Verbesserung interner Sicherheitsrichtlinien und -verfahren.

2

Regelmäßige Präsentationen und Workshops für Mitarbeiter zu Sicherheitsthemen.

3

Regelmäßige Weiterbildung in aktuellen Informationssicherheitstrends und -technologien.

4

Förderung offener Dialog und Feedback zu Sicherheitsfragen im Unternehmen.

5

Vernetzung mit Branchenexperten über Fachgremien und Foren.

Zusätzlich zu den nachfolgend aufgeführten Maßnahmen verweisen wir auf weitere informative Materialien.

Verantwortlichkeiten / Richtlinien

Die Verantwortlichkeiten im Unternehmen sind festgelegt und in ihrer Funktion voneinander getrennt.
1

Kontinuierliche Überprüfung sowie Anpassung der Rollenverteilung und -abgrenzung.

2

Etablierung unterschiedlicher Zugriffsrechte basierend auf der jeweiligen Rolle.

3

Festlegung spezifischer Aufgaben und Verantwortlichkeiten für operative und kontrollierende Rollen.

4

Sicherstellung, dass operative und kontrollierende Aufgaben nicht von derselben Person ausgeführt werden.

5

Schulungen zur Bedeutung und Einhaltung der Trennung operativer sowie kontrollierender Funktionen.

Es existieren Konzepte bzw. Richtlinien, die laufend aktualisiert und von der Leitungsebene getragen werden.
1

Kontinuierliche Aktualisierung der Richtlinien entsprechend neuer Anforderungen und Erkenntnisse.

2

Organisation von Schulungen zur Förderung des Verständnisses und der Einhaltung der Richtlinien.

3

Sicherstellung, dass Richtlinien klar, präzise und leicht verständlich sind.

4

Einbeziehung der Mitarbeiter in den Entwicklungsprozess zur Erhöhung der Akzeptanz.

5

Einbindung und Unterstützung durch das Management für Richtlinienerstellung und -durchsetzung.

Für externe Dienstleister existieren Vertraulichkeitsvereinbarungen.
1

Vereinbarung von Überprüfungsrechten zur Einhaltung der Datenschutzstandards.

2

Festlegung von Konsequenzen bei Nichteinhaltung der Vertraulichkeitsvereinbarung.

3

Klare zeitliche und inhaltliche Begrenzung des Datenzugriffs für externe Dienstleister.

4

Spezifizierung genauer Vertraulichkeitsanforderungen in Verträgen mit externen Dienstleistern.

5

Verpflichtung der Dienstleister zu regelmäßigen Schulungen in Datenschutzpraktiken.

Es existieren Regelungen für Fernwartung.

1

Nutzung sicherer, verschlüsselter Kommunikationskanäle für die Fernwartung.

2

Detaillierte Aufzeichnung aller Fernwartungsaktionen für Überwachungszwecke.

3

Sicherstellung einer starken Authentifizierung für jeden Fernzugriff.

4

Begrenzung des Fernzugriffs auf autorisierte Benutzer und notwendige Systeme.

5

Kontinuierliche Bewertung und Anpassung der Sicherheitsmaßnahmen für Fernwartungen.

Zusätzlich zu den nachfolgend aufgeführten Maßnahmen verweisen wir auf weitere informative Materialien.

Schulungen

Es werden Schulungen zum Datenschutz durchgeführt.
1

Bereitstellung interaktiver Online-Kurse zur flexiblen Datenschutz-Weiterbildung.

2

Durchführung von simulierten Phishing-Angriffen zur Sensibilisierung und Prävention.

3

Verpflichtende Teilnahme an jährlichen Datenschutz-Fortbildungen für alle Mitarbeiter.

4

Interaktive Workshops über sichere Datenhandhabung und Passwort-Management.

5

Regelmäßige Newsletter oder selbstständige Einholung von Informationen über aktuelle Datenschutzthemen und -bestimmungen.

Es werden Schulungen zur Informationssicherheit durchgeführt.
1

Awareness Schulungen / fortlaufende Trainings zur Erkennung und Abwehr von Cyberangriffen.

2

Unterweisung in firmeninternen Sicherheitsrichtlinien und -verfahren.

3

Fortbildungen über neueste Sicherheitstechnologien und -software.

4

Regelmäßige Kurse über grundlegende IT-Sicherheitsprinzipien und -praktiken.

5

Trainings zur Erkennung und Vermeidung von Social-Engineering-Taktiken.

Es werden Schulungen zum Arbeitsschutz durchgeführt.
1

Bewusstseinsschaffung für Cybergefahren und deren Auswirkungen auf den Arbeitsplatz.

2

Übungen und Protokolle zur Reaktion auf Sicherheitsvorfälle und Datenlecks.

3

Anleitungen zum sicheren Teilen und Speichern sensibler Unternehmensdaten.

4

Schulung zur Erkennung und Handhabung von Phishing sowie verdächtigen E-Mails.

5

Training in der Erstellung und Verwaltung starker, sicherer Passwörter.

Im Unternehmen werden auch andere Schulungen durchgeführt.
1

Regelmäßige Seminare (Online oder Vor-Ort) über neueste Branchentrends und Technologien.

2

Regelmäßige interne Präsentationen und Diskussionen über neue Technologien sowie Anwendungen.

3

Gezielte Trainings zur sicheren und effektiven Nutzung spezifischer Unternehmenssoftware.

4

Erstellung und Etablierung eines Weiterbildungskonzepts für alle Mitarbeiter.

5

Förderung der Teilnahme an relevanten Konferenzen und Messen.

Zusätzlich zu den nachfolgend aufgeführten Maßnahmen verweisen wir auf weitere informative Materialien.

IT-Systeme inkl. Netzwerk

Die IT-Infrastruktur ist in ihrer Gesamtheit in einem Netzplan dokumentiert.

1

Sicherstellung der Aktualität durch kontinuierliche Überarbeitung bei Änderungen.

2

Detaillierte Dokumentation aller Netzwerkkomponenten und Verbindungen.

3

Einsatz einer geeigneten Software zur klaren Darstellung der IT-Infrastruktur.

4

Beschränkung des Zugriffs auf autorisiertes Personal, Schutz der Dokumentation.

5

Einbeziehung von Sicherheitsmaßnahmen und Protokollen in den Netzplan.

Die Konfiguration aller am Netzwerk angeschlossenen Geräte ist nachvollziehbar dokumentiert.
1

Systematische Kontrolle und Aktualisierung der Dokumentation bei Konfigurationsänderungen.

2

Einsatz von Versionsverwaltungssystemen zur Nachverfolgung von Änderungen.

3

Vorgabe einheitlicher Dokumentationsstandards für die Konfigurationserfassung.

4

Detaillierte Protokollierung des Zugriffs und aller Änderungen an den Konfigurationen.

5

Erfassung aller Geräteeinstellungen in einer zentral verwalteten Datenbank.

Das Unternehmen verfügt über ein System mit dem regelmäßig alle Netzwerkkomponenten inkl. deren Aktivitäten im Netzwerk überwacht werden.
1

Einrichtung von Echtzeitüberwachung mit sofortigen Benachrichtigungen bei ungewöhnlichen Aktivitäten.

2

Durchführung periodischer Netzwerkanalysen zur Identifikation und Behebung von Schwachstellen.

3

Erfassung detaillierter Logs aller Netzwerkaktivitäten für die Nachverfolgung und Audits.

4

Installation eines zentralen Systems zur Überwachung aller Netzwerkkomponenten.

5

Strikte Kontrolle des Zugriffs auf das Überwachungssystem und Management der Nutzerberechtigungen.

Nur ein berechtigter Personenkreis besitzt Zugriff auf die Hardwarekomponenten der IT-Infrastruktur des Unternehmens.

1

Kontinuierliche Überprüfung und Anpassung der Zugriffsberechtigungen.

2

Definition und Verwaltung von Zugriffsberechtigungen für bestimmte Mitarbeitergruppen.

3

Erfassung und Überwachung aller Zugriffe auf Hardwarekomponenten zur Nachverfolgung.

4

Einsatz von Schlüsselkarten oder biometrischen Systemen für den physischen Zugang.

5

Schulung der Mitarbeiter über Sicherheitsrichtlinien und den Schutz von Hardware.

Die softwareseitige IT-Infrastruktur des Unternehmens ist vor unerlaubtem Zugriff durch Berechtigungsbeschränkungen geschützt.
1

Erstellung und Etablierung eines Berechtigungskonzepts.

2

Einführung einer zusätzlichen Sicherheitsebene für den Zugriff auf Systeme.

3

Systematische Kontrolle und Anpassung von Zugriffsrechten.

4

Vergabe von minimalen Rechten an die Benutzer zur Bearbeitung ihrer Aufgaben.

5

Erfassen und Analysieren von Zugriffsaktivitäten zur Erkennung unerlaubter Zugriffe.

Im Unternehmen existiert eine Auflistung sämtlicher eingesetzter Hardware- und Softwarelösungen inkl. des aktuellen Patchstandes.
1

Einsatz von Tools zur automatischen Erfassung und Aktualisierung des Patchstatus.

2

Planmäßige Audits der Auflistung zur Sicherstellung der Aktualität und Vollständigkeit.

3

Vollständige Erfassung von Hardware- und Softwarelösungen im Unternehmen.

4

Kontinuierliche Pflege und Update des Inventars, einschließlich Patchstatus.

5

Etablierung von Berechtigungen für den Zugriff auf und die Bearbeitung der Inventarliste.

Alle eingesetzten Netzwerkgeräte werden mind. durch ein Kennwort geschützt und sind verschlüsselt, wenn diese Option zur Verfügung steht.
1

Kontinuierliche Überprüfung der Passwortnutzung und Verschlüsselungsstandards.

2

Überprüfung und Aktivierung der Verschlüsselungsoptionen auf allen Geräten.

3

Vorgabe komplexer Passwörter für alle Netzwerkgeräte.

4

Planmäßige Aktualisierung der Passwörter zur Erhöhung der Sicherheit.

5

Bewusstseinsbildung für Bedeutung von Passwortschutz und Verschlüsselung.

Hard- und/oder Softwarelösungen schützen das Netzwerk und die hier zu verarbeitenden Daten vor unerlaubten Zugriff von außen.
1

Verwendung von Multi Faktor Authentifizierung (MFA) oder weitere darüber hinausgehende Technologien für den Zugriff auf kritische Systeme, um unbefugten Zugriff zu verhindern.

2

Installation von Intrusion Detection System (IDS) oder anderer vergleichbarer Systeme zum Erkennen und Melden von unerlaubten Zugriffsversuchen.

3

Kontinuierliche Aktualisierung von Hard- und Software zur Schließung von Sicherheitslücken.

4

Einrichtung leistungsstarker Firewalls zur Abwehr externer Angriffe.

5

Einsatz aktueller Schutzsoftware gegen Viren und Malware.

Es bestehen Schutzmaßnahmen für die interne und externe Datenübermittlung einschließlich der Möglichkeit, diese zu verschlüsseln.
1

Einsatz von starken Verschlüsselungsmethoden für alle Datenübertragungen.

2

Kontinuierliche Kontrolle der Übertragungswege und -methoden auf Sicherheitslücken.

3

Erstellung und Durchsetzung klarer Richtlinien zur sicheren Datenübermittlung.

4

Bewusstseinsbildung und Schulungen zum sicheren Umgang mit Datenübermittlungen.

5

Nutzung von Virtual Private Networks und sicheren Netzwerkverbindungen für externe Datenübertragungen.

Die eingesetzten IT-Geräte werden regelmäßigen Wartungs- und Reparaturarbeiten unterzogen.
1

Einsatz von Monitoring-Tools zur frühzeitigen Erkennung eines Wartungsbedarf.

2

Regelmäßige Weiterbildung der Techniker in neuesten Wartungs- und Reparaturtechniken.

3

Festlegung regelmäßiger Wartungsintervalle für jedes Gerät.

4

Erfassung aller durchgeführten Wartungen und Reparaturen in einem Wartungslogbuch.

5

Sicherstellung der Verfügbarkeit von Ersatzteilen und technischem Support durch Wartungsverträge.

Zusätzlich zu den nachfolgend aufgeführten Maßnahmen verweisen wir auf weitere informative Materialien.

Datensicherung

Es erfolgt eine periodische Sicherung aller relevanten Daten auf einem Backup- und Wiederherstellungssystem im Unternehmen.
1

Erstellung und Etablierung eines Backupkonzeptes.

2

Schutz der Backup-Daten durch starke Verschlüsselungstechnologien.

3

Durchführung regelmäßiger Testläufe zur Datenwiederherstellung.

4

Speicherung verschiedener Versionen der Sicherungen von den festegelegten relevanten Daten zur Vermeidung von Datenverlust.

5

Planung automatischer Backups zu festgelegten, regelmäßigen Zeitpunkten.

Die Datenträger zur Sicherung werden an einem geschützten Ort gelagert.

1

Sichere Aufbewahrung eines Backups außerhalb der Firma inkl. des Vorhaltens in mind. 2 Varianten (offline und online).

2

Kontrolle von Temperatur und Luftfeuchtigkeit, um Datenträger vor Umweltschäden zu schützen.

3

Einsatz von feuerfesten und wasserresistenten Aufbewahrungslösungen für Datenträger.

4

Erstellung und Etablierung Berechtigungs-/Zutrittskonzept für die Datenträger

5

Einrichtung von Sicherheitssystemen und Zugangscodes für den Zugriff auf Datenträgerbereiche.

Zusätzlich zu den nachfolgend aufgeführten Maßnahmen verweisen wir auf weitere informative Materialien.

Datenschutz

Für alle Informationen im Unternehmen wurde der Schutzbedarf anhand einer Schutzbedarfsanalyse ermittelt und nachvollziehbar dokumentiert.
1

Beurteilung der Rolle der Informationen in kritischen Geschäftsabläufen.

2

Analyse potenzieller Risiken und Bedrohungen für jede Art von Information.

3

Berücksichtigung rechtlicher und regulativer Vorgaben zum Datenschutz.

4

Einbeziehung relevanter Interessengruppen zur umfassenden Bewertung des Schutzbedarfs.

5

Einteilung der Daten in Schutzklassen basierend auf Sensibilität und Bedeutung.

Die Erhebung, die Verarbeitung und der Umgang mit personenbezogenen Daten im Unternehmen ist geregelt.
1

Bereitstellung klarer, verständlicher Datenschutzerklärungen über Nutzung und Verarbeitung der Daten.

2

Sicherstellung, dass Einwilligungen für die Datenerhebung klar und rechtskonform eingeholt werden.

3

Gewährleistung der Datensicherheit durch Verschlüsselung und sichere Übertragungswege.

4

Erfassung und Verarbeitung nur der unbedingt erforderlichen personenbezogenen Daten.

5

Sicherstellung der regelmäßigen Überprüfung und Löschung nicht mehr benötigter Daten.

Verpflichtungen bezüglich des Datengeheimnisses und Verschwiegenheitserklärungen sind vorhanden.
1

Durchsetzung und regelmäßige Überprüfung der Einhaltung von Datenschutzbestimmungen.

2

Gewährleistung, dass nur autorisiertes Personal Zugang zu sensiblen Daten hat.

3

Festlegung klarer Konsequenzen bei Nichteinhaltung der Verschwiegenheitspflichten.

4

Bewusstseinsbildung und Weiterbildung in Bezug auf Datenschutz und Datengeheimnis.

5

Verpflichtung aller Mitarbeiter zur Geheimhaltung personenbezogener Daten.

Für das Unternehmen ist ein Datenschutzbeauftragter bestellt und aktiv im Einsatz.
1

Gewährleistung kontinuierlicher Weiterbildung in Datenschutzfragen und -gesetzen.

2

Sicherstellung der Unabhängigkeit des Beauftragten von anderen Unternehmensbereichen.

3

Einrichtung fester Kommunikationswege für Datenschutzanliegen innerhalb des Unternehmens

4

Klare Definition der Aufgaben und Befugnisse des Datenschutzbeauftragten.

5

Bereitstellung der notwendigen Ressourcen und Zugänge zu relevanten Informationen.

Sicherheitsfortschritt

Status Gesamtzustand: 14%

Einzelthemen // Gesamtfortschritt // Einzelfragen

Sicherheit Themenkatalog

PDF-Bericht erzeugen