Erfahren Sie, wie gut Ihr Unternehmen in den Bereichen Datensicherheit, Datenspeicherung und Notfallmanagement aufgestellt ist – und, wo noch Optimierungsbedarf besteht. Der praxisnahe Selbstcheck hilft Ihnen, Ihr Unternehmen sicherer und zukunftsfähiger zu machen.
Gerade kleine (und mittlere) Unternehmen verfügen oft nicht über eine leistungsfähige IT-Abteilung mit gut ausgebildeten Fachleuten. Mit dem Fachcheck IT-Sicherheit erlangen sie einen umfassenden Überblick über ihre IT-Sicherheitsstandards. Denn der praxisnahe Selbstcheck beleuchtet zentrale Bereiche der IT-Sicherheit wie Datensicherheit, Datenspeicherung, Netzwerkschutz und Notfallmanagement. Ausgehend von den erlangten Reifegraden können Unternehmen konkrete Handlungsfelder identifizieren.
Hilfe zum Selbstcheck
Diese Anleitung hilft beim schnellen Einstieg und erklärt die wichtigsten Interaktionen.
Rechtsklick / langes tippen: Ihren angestrebten Reifegrad (SOLL – rote Färbung) setzen.
Hovern: Ausführlichere Details zum Merkmal anzeigen.
Auf die Frage klicken / tippen: Auswahl für dieses Merkmal zurücksetzen.
Es ist eine Plausibilitätskontrolle eingebaut, damit der angestrebte Reifegrad (SOLL – rot) nicht unter dem aktuellen Reifegrad (IST – blau) bzw. umgekehrt liegen kann.
Werkzeuge
Zurücksetzen: Setzt alle Werte dieses Selbstchecks zurück.
Drucken: Öffnet eine druckerfreundliche Ansicht dieses Selbstchecks (inklusive QR-Code bzw. Link für Ihre individuelle aktuelle Wahl).
Teilen: Erstellt einen Link für die aktuelle Merkmalsauswahl und kopiert ihn in die Zwischenablage.
Einklappen / Ausklappen: Alle Teil-Selbstchecks und ggf. die Auswertung ein- oder ausklappen.
Hinweis: Verwenden Sie die Teilen- und/oder Drucken-Werkzeuge, um Ihre individuelle aktuelle Wahl für sich zu speichern und so später oder mit anderen Ihre Arbeit fortsetzen zu können.
Sollten Sie Fragen, Probleme oder Anregungen bzgl. unserer Selbstchecks haben, wenden Sie sich gern an info@digitalzentrum-chemnitz.de.
Selbstcheck FOKUS :
IT-Sicherheit
Sicher bleiben!
Datensicherheit
Reifegrad 0
Beobachter
Reifegrad 1
Einsteiger
Reifegrad 2
Erfahrener
Reifegrad 3
Fortgeschrittener
Reifegrad 4
Experte
ISMS vorhanden? ⟲
nein
Es ist kein Informationssicherheitsmanagementsystem vorhanden und es ist nichts dokumentiert.
teilweise dokumentiert
Einzelne Elemente eines ISMS sind dokumentiert, z.B. auch in einem Qualitätsmanagementsystem (QM)
zum größten Teil dokumentiert
Die meisten Elemente eines ISMS sind dokumentiert, ggf. auch in einem Qualitätsmanagementsystem (QM)
vollständig dokumentiert
Das ISMS ist vollständig als eigenständiges System dokumentiert und abgebildet. Das Unternehmen ist jedoch nicht zertifiziert.
vollständig dokumentiert und zertifiziert
Das ISMS ist vollständig als eigenständiges System dokumentiert und abgebildet. Das Unternehmen wurde erfolgreich zertifiziert.
Segmentierung von Netzwerk / IT-Infrastruktur ⟲
keine Segmentierung
Das Netzwerk des Unternehmens ist nicht segmentiert.
Schutzbedarf festgestellt
Die Abteilungen bzw. Bereiche im Unternehmen wurden hinsichtlich eines notwendigen Schutzbedarfs analysiert.
Segmentierung umgesetzt
Entsprechend des festgestellten Schutzbedarfes der Bereiche wurde das Firmennetzwerk segmentiert (z.B. Office, Produktion).
Segmentierung mit Firewall
Im Zusammenhang mit der Segmentierung im Netzwerk werden auch Firewalls eingesetzt.
Netzwerk-Monitoring
Zwecks Überwachung der Segmentierung bzw. deren Wirksamkeit erfolgt im Unternehmen ein Monitoring im gesamten Netzwerk.
Internet-/ E-Mail-Nutzung ⟲
nicht geregelt
Im Unternehmen ist die (private) Internet- und E-Mail-Nutzung nicht geregelt.
Nutzung ist geregelt
Die Nutzung von Internet, E-Mails und Social Media ist geregelt und Bestandteil des Arbeitsvertrages.
Nutzung mit Benutzerkonzept
Die Nutzung von Internet und Social-Media ist zusätzlich auf Basis eines Benutzerkonzeptes geregelt.
Nutzung mit Schutzmaßnahmen
Die Nutzung des Internets und der E-Mail-Kommunikation ist durch spezifische Schutzmaßnahmen (Antiviren-Programm, Web-Proxy u.ä.) abgesichert.
Verschlüsselung der Datenübertragung
Bei der abgesicherten Nutzung des Internets und der E-Mail-Kommunikation kann eine Datenübertragung zusätzlich verschlüsselt werden.
Datenschutz ⟲
keine Regelungen vorhanden
Im Unternehmen existieren keine Regelungen zum Datenschutz.
Verantwortlichkeiten geregelt
Im Unternehmen sind die Verantwortlichkeiten geregelt und es wurde ggf. ein interner oder externer Datenschutzbeauftragte bestellt.
Datennutzung geregelt
Die Nutzung und der Umgang mit personenbezogenen Daten ist im Unternehmen geregelt und dokumentiert.
Verpflichtung der Mitarbeiter
Alle Mitarbeiter des Unternehmens wurden in Bezug auf Datengeheimnis und Verschwiegenheit geschult und verpflichtet. Eine Erklärung ist Bestandteil des Arbeitsvertrages.
Maßnahmen zum Datenschutz
Im Unternehmen wurden für die Einhaltung des Datenschutzes entsprechende technische und organisatorische Maßnahmen umgesetzt.
Datenübertragung ⟲
Datenübertragung ungesichert
Die Datenübertragungen im Unternehmen und auch zu Kunden finden ungesichert statt.
Datenübertragung teilweise abgesichert
Einzelne Datenübertragungen sind durch manuelle Verschlüsselung der Dateien abgesichert (Passwörter).
Datenübertragung teilweise verschlüsselt
Die Übertragung von Daten findet bei Bedarf verschlüsselt statt (z.B. HTTPS, FTP).
Datenübertragungen per VPN
Die Übertragung von relevanten Daten findet über gesicherte und verschlüsselte Kommunikationskanäle (z.B. VPN) statt.
Dateiübertragung per MFT
Eine unternehmensweite Dateiübertragung findet über Managed File Transfer (MFT) statt. MFT ermöglicht den sicheren und zuverlässigen Datenaustausch. Der gesamte Prozess wird gesichert, kontrolliert und dokumentiert.
ISMS vorhanden? ⟲
Segmentierung von Netzwerk / IT-Infrastruktur ⟲
Internet-/ E-Mail-Nutzung ⟲
Datenschutz ⟲
Datenübertragung ⟲
Datenübertragung
Reifegrad 0
Beobachter
Reifegrad 1
Einsteiger
Reifegrad 2
Erfahrener
Reifegrad 3
Fortgeschrittener
Reifegrad 4
Experte
Existieren Regelungen zur Datenübertragung? ⟲
nein
Im Unternehmen sind keine Regelungen vorhanden.
Regeln für die Datenübertragung existieren
Im Unternehmen wurden Regelungen für die Datenübertragung erarbeitet. Die Regeln wurden bisher jedoch noch nicht in die Praxis umgesetzt.
abteilungsbezogene Regeln
Im Unternehmen wurden Regelungen für die Datenübertragung erarbeitet und erfolgreich in einzelnen Abteilungen (z. B. Verwaltung, Produktion) umgesetzt.
standortbezogene Regeln
Im Unternehmen wurden Regelungen für die Datenübertragung erarbeitet und erfolgreich in allen Abteilungen am Standort eines Unternehmens umgesetzt.
unternehmensweite Regeln
Im Unternehmen wurden Regelungen für die Datenübertragung erarbeitet und erfolgreich für das gesamte Unternehmen standortunabhängig umgesetzt.
Welcher Vernetzungssgrad liegt vor? ⟲
keine Vernetzung
Im Unternehmen existiert keine Vernetzung von Geräten.
Insellösungen in Abteilungen
In einzelnen Abteilungen des Unternehmens existieren teilweise Vernetzungen von PC-Arbeitsplätzen bzw. von Geräten.
abteilungsbezogene Vernetzung
Die Arbeitsplätze und die Geräte innerhalb einer Abteilung sind miteinander vernetzt.
standortbezogene Vernetzung
Am Standort existiert ein unternehmensweites Netzwerk über alle Bereiche bzw. Abteilungen. Hinweis: Gibt es nur einen Standort, bitte Reifegrad 4 wählen.
unternehmensweite Vernetzung
Es existiert eine unternehmensweite Vernetzung inkl. evtl. vorhandener Standorte über alle Bereiche bzw. Abteilungen.
Wie ist das Niveau der kabelgebundenen Vernetzung? ⟲
keine kabelgebundene Vernetzung
Im Unternehmen sind keine kabelgebundenen Vernetzungen vorhanden.
kabelgebundene Vernetzung ohne jede Absicherung
Im Unternehmen existieren kabelgebundene Vernetzungen, die Zugänge (Netzwerkdosen) sind weder technisch noch physisch gesichert.
kabelgebundene Vernetzung mit teilweiser Absicherung
Die vorhandenen Netzwerkdosen in Räumen, zu denen Kunden u.a. Zugang haben, sind technisch und/oder physisch abgesichert. Entweder ist der Zugang komplett gesperrt oder es besteht maximal eine reine Internetverbindung.
kabelgebundene Vernetzung mit hoher Absicherung
Im Unternehmen sind alle Netzwerkdosen technisch und/oder physisch abgesichert. Der Zugang ist entweder komplett gesperrt oder es besteht maximal eine reine Internetverbindung.
kabelgebundene Vernetzung mit maximaler Absicherung
Im Unternehmen sind alle Netzwerkdosen technisch und/oder physisch abgesichert. Es können ausschließlich firmeneigene Geräte genutzt werden, die entsprechend bekannt und angemeldet sind.
Wie ist die Niveau der kabellosen Vernetzung? ⟲
Kabellose Verbindungen sind nicht gesichert
Die vorhandenen kabellosen Verbindungen (z.B. WLAN) sind für jeden frei zugänglich bzw. ungesichert. Verbindungen in das Unternehmensnetzwerk sind auch für Fremde möglich.
Kabellose Verbindungen sind auf niedrigem Niveau gesichert
Der Zugang zu vorhandenen kabellosen Verbindungen ist in einzelnen Bereichen/Netzen gesichert (Passwörter). Es sind tlw. noch veraltete Standards (z.B. WEP bei einem WLAN) vorhanden.
Kabellose Verbindungen sind auf hohem Niveau gesichert
Der Zugang zu vorhandenen kabellosen Verbindungen ist in allen Bereichen/Netzen gesichert (Passwörter). Es sind tlw. noch veraltete Standards (z.B. WEP bei einem WLAN) vorhanden.
Kabellose Verbindungen sind auf sehr hohem Niveau gesichert
Der Zugang zu vorhandenen kabellosen Verbindungen ist in allen Bereichen/Netzen gesichert (Passwörter). Es sind dem Stand der Technik entsprechende Standards (z.B. WLAN-Protokolle) vorhanden. Ein vorhandenes ''Gäste-Netz'' ist ohne Zugangsschutz (Passwort).
Kabellose Verbindungen sind maximal gesichert
Der Zugang zu vorhandenen kabellosen Verbindungen ist in allen Bereichen/Netzen gesichert (Passwörter). Es sind dem Stand der Technik entsprechende Standards (z.B. WLAN-Protokolle) vorhanden. Ein vorhandenes ''Gäste-Netz'' ist nur temporär und mit Zugangsschutz (Passwort).
Wie ist der Segmentierungsgrad im Netzwerk? ⟲
keine Segmentierung
Im Unternehmensnetzwerk sind keine Teilnetze bzw. Segmentierungen eingerichtet.
Segmentierung als Insellösungen
Es ist ein Konzept vorhanden, wurde aber nur tlw. oder in einzelnen Unternehmensbereichen (z.B. Produktion) umgesetzt.
Segmentierung einzelner Bereiche
Es ist ein Konzept vorhanden, das in einzelnen Bereichen (z.B. Produktion) vollständig, aber nicht unternehmensweit umgesetzt wurde.
unternehmensweite Segmentierung
Es ist ein Konzept vorhanden, das in allen Bereichen (z.B. Produktion, Buchhaltung) vollständig umgesetzt wurde.
unternehmensweite Segmentierung
Das vorhandene Konzept zur Segmentierung ist unternehmensweit umgesetzt und wird periodisch geprüft, aktualisiert und neu umgesetzt.
Erfolgt eine verschlüsselte Datenübertragung? ⟲
keine Richtlinien und keine Verschlüsselung
Im Unternehmen werden bei einer Datenübertragung keine Daten verschlüsselt. Es existieren dazu auch keine Richtlinien.
Richtlinien vorhanden, aber keine Umsetzung
Im Unternehmen sind Richtlinien bzw. Regeln zur Verschlüsselung von relevanten Daten vorhanden, aber nicht umgesetzt.
Verschlüsselung nur in Einzelfällen
Eine Verschlüsselung von Daten erfolgt nur in Einzelfällen in einigen Bereichen (z.B. Buchhaltung) des Unternehmens.
Daten werden verschlüsselt, E-Mail-Kommunikation nicht
Im Unternehmen erfolgt eine Verschlüsselung aller relevanten Daten. Die E-Mail-Kommunikation selbst erfolgt unverschlüsselt.
unternehmensweite Vernetzung
Im Unternehmen werden alle relevanten Daten selbst verschlüsselt, auch die E-Mail-Kommunikation erfolgt verschlüsselt.
Wie ist die Leistungsfähigkeit der internen Bandbreite und des Internetanschlusses? ⟲
Bandbreite nicht ausreichend
Die vorhandenen internen Bandbreiten und/oder die Bandbreite des derzeitigen Internetanschlusses sind für aktuelle Anwendungen nicht ausreichend.
Bandbreite nicht ausreichend, Ausbau geplant
Die vorhandenen internen Bandbreiten und/oder die Bandbreite des derzeitigen Internetanschlusses sind für aktuelle Anwendungen nicht ausreichend, ein Ausbau bzw. eine Erweiterung ist aber möglich und in Planung.
Bandbreite mittel-/ langfristig nicht ausreichend
Die aktuell vorhandenen Bandbreiten (intern/Internetanschluss) sind für die derzeitigen Anwendungen ausreichend, aber für die zukünftigen Anforderungen nicht ausreichend.
Ausbau für zukunftssichere Bandbreite geplant
Die vorhandenen Bandbreiten (intern/Internetanschluss) sind für die derzeitigen Anwendungen ausreichend, aber für die zukünftigen Anforderungen nicht ausreichend. Ein Ausbau bzw. eine Erweiterung ist aber möglich und in Planung.
Bandbreite mittel-/ langfristig ausreichend
Die vorhandenen Bandbreiten (intern/Internetanschluss) sind für die derzeitigen und auch für zukünftige Anwendungen ausreichend.
Wie ist die Verwendung sicherer Netzwerk-Protokolle geregelt? ⟲
keine Regelungen
Im Unternehmen sind keine Regelungen vorhanden. Protokolle werden funktionsorientiert eingesetzt. Sicherheitsaspekte werden nicht betrachtet.
Regelungen vorhanden, aber nicht umgesetzt
Im Unternehmen sind Regelungen vorhanden, wurden bisher aber nicht umgesetzt. Protokolle werden funktionsorientiert eingesetzt. Sicherheitsaspekte werden nicht betrachtet.
Sichere Protokolle in Einzelfällen
Sichere Netzwerk-Protokolle (z.B. OPC UA) werden entsprechend dem Regelwerk in Einzelfällen in einzelnen Bereichen/Abteilungen eingesetzt.
Sichere Protokolle in Bereichen/Abteilungen
Sichere Netzwerk-Protokolle (z.B. OPC UA) werden entsprechend dem Regelwerk in einigen Bereichen/Abteilungen vollständig eingesetzt.
standardisierte Protokolle und einheitliche Semantik
Sichere Netzwerk-Protokolle (z.B. UMATI) werden entsprechend dem Regelwerk in allen Bereichen/Abteilungen (Verwaltung, Produktion usw.) vollständig eingesetzt.
Welche Maßnahmen zur Ausfallsicherheit wurden im Unternehmen bzgl. Datenübertragung umgesetzt? ⟲
keine Maßnahmen
Im Unternehmen wurden im Zusammenhang mit evtl. Ausfällen bei Datenübertragungen keine Maßnahmen entwickelt und umgesetzt.
Konzept vorhanden, nicht umgesetzt
Eine Analyse der Infrastruktur wurde durchgeführt, kritische Systeme wurden identifiziert und eine Konzeption zur Ausfallsicherheit wurde erarbeitet. Maßnahmen wurden bisher nicht umgesetzt.
Maßnahmen in Einzelfällen umgesetzt
Entsprechend dem Konzept wurden bei den besonders kritischen Systemen Maßnahmen zur Ausfallsicherheit (z.B. redundante Datenübertragungen) in Einzelfällen umgesetzt.
Maßnahmen in ganzen Bereichen umgesetzt
Entsprechend dem Konzept wurden bei kritischen Systemen die Maßnahmen zur Ausfallsicherheit (z.B. redundante Datenübertragungen) in ganzen Bereichen/Abteilungen vollständig umgesetzt.
Maßnahmen im Unternehmen umgesetzt
Entsprechend dem Konzept wurden bei allen kritischen Systemen die Maßnahmen zur Ausfallsicherheit (z.B. redundante Datenübertragungen) unternehmensweit umgesetzt.
Existieren Regelungen zur Datenübertragung? ⟲
Welcher Vernetzungssgrad liegt vor? ⟲
Wie ist das Niveau der kabelgebundenen Vernetzung? ⟲
Wie ist die Niveau der kabellosen Vernetzung? ⟲
Wie ist der Segmentierungsgrad im Netzwerk? ⟲
Erfolgt eine verschlüsselte Datenübertragung? ⟲
Wie ist die Leistungsfähigkeit der internen Bandbreite und des Internetanschlusses? ⟲
Wie ist die Verwendung sicherer Netzwerk-Protokolle geregelt? ⟲
Welche Maßnahmen zur Ausfallsicherheit wurden im Unternehmen bzgl. Datenübertragung umgesetzt? ⟲
Datenspeicherung
Reifegrad 0
Beobachter
Reifegrad 1
Einsteiger
Reifegrad 2
Erfahrener
Reifegrad 3
Fortgeschrittener
Reifegrad 4
Experte
Ist der zu speichernde Datenbestand strukturiert? ⟲
nein
Die Analyse und konzeptionelle Strukturierung des vorhandenen Datenbestandes ist erfolgt. Ein Löschkonzept wurde ebenfalls erarbeitet. Die Konzepte wurden bisher nicht umgesetzt.
Konzept vorhanden, nicht umgesetzt
Die Strukturierung von Datenbeständen unter Beachtung des Löschkonzeptes nach DSGVO wurde in einzelnen Bereichen/ Abteilungen (z.B. Buchhaltung) umgesetzt.
Strukturierung in Einzelfällen umgesetzt
Strukturierung in ganzen Bereichen umgesetzt
Die Strukturierung von Datenbeständen unter Beachtung des Löschkonzeptes nach DSGVO wurde in mehreren Bereichen/ Abteilungen vollständig umgesetzt.
Strukturierung unternehmensweit
Die Strukturierung von Datenbeständen unter Beachtung des Löschkonzeptes nach DSGVO wurde in allen Bereichen/ Abteilungen unternehmensweit umgesetzt.
Wurden Sicherungsintervalle definiert? ⟲
nein
Eine Sicherung des im Unternehmen vorhandenen Datenbestandes erfolgt bisher nur unregelmäßig.
Sicherungsintervalle festgelegt, nicht realisiert
Die Intervalle für eine Sicherung der verschiedensten Datenbestände wurden festgelegt, bisher aber nicht in die Praxis umgesetzt.
Sicherungsintervalle in Einzelfällen realisiert
Die Intervalle für die Datensicherungen wurden in einzelnen Bereichen/ Abteilungen (z.B. Buchhaltung) umgesetzt.
Sicherungsintervalle in ganzen Bereichen realisiert
Die Intervalle für die Datensicherungen wurden in mehreren Bereichen/ Abteilungen (z.B. Buchhaltung) umgesetzt.
Sicherungsintervalle unternehmensweit
Die Intervalle für die Datensicherungen wurden in allen Bereichen/ Abteilungen (z.B. Buchhaltung) unternehmensweit umgesetzt.
Ist die Sicherung automatisiert? ⟲
nein
Die Sicherung von Datenbeständen wird bisher nur manuell durchgeführt bzw. ausgelöst. Eine Softwarelösung ist im Unternehmen nicht vorhanden.
Automatisierung möglich, nicht eingerichtet
Grundlagen für eine Automatisierung z.B. durch Software sind im Unternehmen vorhanden, bisher aber noch nicht realisiert bzw. eingerichtet.
Automatisierung in Einzelfällen realisiert
Die automatisierte Datensicherung wurde in einzelnen Bereichen/ Abteilungen (z.B. Buchhaltung) umgesetzt.
Automatisierung in ganzen Bereichen realisiert
Die automatisierte Datensicherung wurde in mehreren Bereichen/ Abteilungen (z.B. Buchhaltung) vollständig umgesetzt.
Automatisierung unternehmensweit
Die automatisierte Datensicherung wurde in allen Bereichen/ Abteilungen (z.B. Buchhaltung) unternehmensweit umgesetzt.
Eingesetzte Speichermedien ⟲
Eingesetzte Speichermedien insgesamt nicht ausreichend
Die eingesetzten Speichermedien sind weder auf die zu sichernden Datenmengen noch auf geforderte Aufbewahrungszeiten abgestimmt und deshalb auch für aktuelle Bedarfe nicht ausreichend bzw. ungeeignet.
Die derzeit eingesetzten Speichermedien (z.B. Bänder, Festplatten) sind für die gesetzlich vorgeschriebenen Aufbewahrungszeiten gut gewählt. Die Kapazität der Medien ist aktuell gerade noch ausreichend, muss aber erweitert werden.
Kapazität der Speichermedien kurzfristig ausreichend
Die derzeit eingesetzten Speichermedien (z.B. Bänder, Festplatten) sind für die gesetzlich vorgeschriebenen Aufbewahrungszeiten gut gewählt, aber die Kapazität ist nur noch kurzfristig ausreichend. Eine Erweiterung ist ggf. geplant.
Kapazität der Speichermedien mittelfristig ausreichend
Die derzeit eingesetzten Speichermedien (z.B. Bänder, Festplatten) sind für die gesetzlich vorgeschriebenen Aufbewahrungszeiten gut gewählt, die Kapazität ist mittelfristig ausreichend. Eine Erweiterung ist ggf. geplant.
Kapazität der Speichermedien langfristig ausreichend
Die derzeit eingesetzten Speichermedien (z.B. Bänder, Festplatten) sind für die gesetzlich vorgeschriebenen Aufbewahrungszeiten gut gewählt. Die Kapazität ist langfristig ausreichend. Der zu sichernde Datenumfang wird periodisch überprüft, ein notwendiger Ausbau der Kapazitäten geplant und realisiert.
Standortwahl und Handhabung der Speichermedien ⟲
Standort & Handling unzureichend
Der Standort der Speichermedien (z.B. Datenserver, NAS) ist unzureichend. Gefährdungen bestehen durch äußere Einflüsse (z.B. Wasser, Staub) sowie unerlaubten Zutritt oder Zugriff usw. Die Speichermedien werden nach Sicherungen nicht vom System getrennt und verbleiben am Standort.
Standort mäßig geeignet & Handling unzureichend
Der Standort der Speichermedien ist in Bezug auf äußere Gefährdungen (z.B. Brand, Wasser) gesichert. Es sind Gefährdungen durch unerlaubten Zutritt oder Zugriff gegeben. Die Speichermedien werden nach Sicherungen nicht vom System getrennt und verbleiben am Standort.
Standort gut geeignet & Handling unzureichend
Der Standort der Speichermedien ist sowohl in Bezug auf äußere Gefährdungen (z.B. Brand, Wasser) als auch gegen unerlaubten Zutritt oder Zugriff gesichert. Die Speichermedien werden nach Sicherungen nicht vom System getrennt und verbleiben am Standort.
Standort gut geeignet & Handling gut
Der Standort der Speichermedien ist sowohl in Bezug auf äußere Gefährdungen (z.B. Brand, Wasser) als auch gegen unerlaubten Zutritt oder Zugriff gesichert. Die Speichermedien werden nach Sicherungen nicht physisch (evtl. Ransomware hat aber z.B. keinen Zugriff mehr) vom System getrennt und verbleiben am Standort.
Standort gut geeignet & Handling optimal
Der Standort der Speichermedien ist sowohl in Bezug auf äußere Gefährdungen (z.B. Brand, Wasser) als auch gegen unerlaubten Zutritt oder Zugriff gesichert. Notwendige Speichermedien werden nach Sicherungen auch physisch vom System getrennt und gesetzeskonform an einem sicheren Ort außerhalb des Unternehmens aufbewahrt.
Datenspeicherung in einer externen Cloud ⟲
Datenspeicherung in der Cloud unzureichend
Die Datenspeicherung in der Cloud ist unter den Merkmalen der Rechtssicherheit (z.B. DSGVO, außerhalb Europas), technische IT-Sicherheit (z.B. Anforderungen eines Rechenzentrums, Verschlüsselung), ausreichende Bandbreite sowie der allgemeinen Datenverfügbarkeit unsicher bzw. unzureichend.
Datenspeicherung in der Cloud mangelhaft
Für die Datenspeicherung in der Cloud trifft nur eines der Merkmale der Rechtssicherheit (z.B. DSGVO, außerhalb Europas), technische IT-Sicherheit (z.B. Anforderungen eines Rechenzentrums, Verschlüsselung), ausreichende Bandbreite sowie der allgemeinen Datenverfügbarkeit zu und ist damit mangelhaft.
Datenspeicherung in der Cloud befriedigend
Für die Datenspeicherung in der Cloud treffen zwei der Merkmale Rechtssicherheit (z.B. DSGVO, außerhalb Europas), technische IT-Sicherheit (z.B. Anforderungen eines Rechenzentrums, Verschlüsselung), ausreichende Bandbreite sowie der allgemeinen Datenverfügbarkeit zu und ist damit ausreichend.
Datenspeicherung in der Cloud gut
Für die Datenspeicherung in der Cloud treffen drei der Merkmale der Rechtssicherheit (z.B. DSGVO, außerhalb Europas), technische IT-Sicherheit (z.B. Anforderungen eines Rechenzentrums, Verschlüsselung), ausreichende Bandbreite sowie der allgemeinen Datenverfügbarkeit zu und ist damit gut.
Datenspeicherung in der Cloud sehr gut
Die Datenspeicherung in der Cloud ist unter Beachtung der Merkmale der Rechtssicherheit (z.B. DSGVO, außerhalb Europas), technische IT-Sicherheit (z.B. Anforderungen eines Rechenzentrums, Verschlüsselung), ausreichende Bandbreite sowie der allgemeinen Datenverfügbarkeit realisiert.
Wird eine Sicherung protokolliert und geprüft? ⟲
nein
Im Unternehmen werden zu durchgeführten Datensicherungen keine Aufzeichnungen bzw. Protokolle erstellt. Eine Prüfung findet nicht statt.
Protokollierung möglich, nicht eingerichtet
Eine vorhandene Software für die Datensicherung ermöglicht eine Protokollierung, diese ist jedoch nicht aktiv bzw. eingerichtet. Eine Prüfung findet nicht statt.
Prokollierung eingerichtet, keine Prüfung
Eine Protokollierung der Datensicherungen ist eingerichtet, wird jedoch nicht proaktiv geprüft.
Eine Protokollierung der Datensicherungen ist eingerichtet und wird regelmäßig geprüft.
Wird eine Wiederherstellung getestet? ⟲
nein
Eine Wiederherstellung von Daten aus erfolgten Datensicherungen wurde bisher nicht getestet.
Prozess nicht dokumentiert, unregelmäßige Testung
Der Wiederherstellungsprozess ist nicht dokumentiert, Tests zur Wiederherstellung von Daten erfolgen unregelmäßig und manuell.
Prozess ist dokumentiert, unregelmäßige Testung
Der Wiederherstellungsprozess ist dokumentiert, Tests zur Wiederherstellung von Daten erfolgen unregelmäßig und manuell.
Prozess ist dokumentiert, regelmäßige Testung
Der Wiederherstellungsprozess ist dokumentiert, Tests zur Wiederherstellung von Daten erfolgen regelmäßig und manuell.
dokumentierte, regelmäßige und automatisierte Testung
Der Wiederherstellungsprozess ist dokumentiert, Tests zur Wiederherstellung von Daten erfolgen regelmäßig und sind mindestens teilautomatisiert.
Wird das Datensicherungskonzept fortgeschrieben? ⟲
nein
Das vorhandene Datensicherungskonzept wird nicht regelmäßig aktualisert. Sich verändernde Datenbestände und/oder IT-Infrastrukturen werden damit vernachlässigt.
Konzept wird aktualisiert, aber nicht umgesetzt
Das Konzept zur Datensicherung wird regelmäßig aktualisiert, ist aber in den Bereichen/ Abteilungen des Unternehmens nicht in die Praxis umgesetzt.
Konzept wird aktualisiert, nur in Einzelfällen umgesetzt
Das Konzept zur Datensicherung wird regelmäßig aktualisiert, ist aber nur in einzelnen Bereichen/ Abteilungen (z.B. Buchhaltung) umgesetzt.
Konzept wird aktualisiert, in einzelnen Bereichen umgesetzt
Das Konzept zur Datensicherung wird regelmäßig aktualisiert und in ganzen Bereichen/ Abteilungen (z.B. Buchhaltung) vollständig umgesetzt.
Konzept wird aktualisiert, unternehmensweit umgesetzt
Das Konzept zur Datensicherung wird regelmäßig aktualisiert und in allen Bereichen/ Abteilungen (z.B. Buchhaltung) unternehmensweit umgesetzt.
Ist der zu speichernde Datenbestand strukturiert? ⟲
Wurden Sicherungsintervalle definiert? ⟲
Ist die Sicherung automatisiert? ⟲
Eingesetzte Speichermedien ⟲
Standortwahl und Handhabung der Speichermedien ⟲
Datenspeicherung in einer externen Cloud ⟲
Wird eine Sicherung protokolliert und geprüft? ⟲
Wird eine Wiederherstellung getestet? ⟲
Wird das Datensicherungskonzept fortgeschrieben? ⟲
Notfallmanagement
Reifegrad 0
Beobachter
Reifegrad 1
Einsteiger
Reifegrad 2
Erfahrener
Reifegrad 3
Fortgeschrittener
Reifegrad 4
Experte
Verantwortlichkeiten für IT-Notfälle ⟲
nein
Im Unternehmen gibt es keine Regelung der Verantwortlichkeiten und es wurde kein IT-Sicherheitsverantwortlicher benannt.
IT-Sicherheit ist Pflichtaufgabe
Die Geschäftsführung hat sich in einer IT-Sicherheitsrichtlinie zur IT-Sicherheit verpflichtet.
Verantwortlichkeiten sind geregelt
Durch die Geschäftsleitung wurden die Verantwortlichkeiten für die IT-Sicherheit und den Datenschutz festgelegt.
Verantwortlichkeiten sind mit Funktionstrennung geregelt
Geschäftsleitung hat die Verantwortlichkeiten für die IT-Sicherheit und den Datenschutz festgelegt. Die Verantwortung liegt bei verschiedenen Mitarbeitern, so dass eine Funktionstrennung gewährleistet ist.
Verantwortlichen arbeiten nach einem Zeitplan
Im Unternehmen arbeiten die eingesetzten Verantwortlichen nach einem fest definierten Zeitplan, dessen Einhaltung durch die Geschäftsleitung kontrolliert wird.
Analyse der Organisation und der Prozesse ⟲
nicht durchgeführt
Im Unternehmen wurden bisher keine relevanten Analysen zu Bedrohungen/Gefährdungen, benötigte IT-Infrastruktur, Prozessen und Risiken durchgeführt.
Wichtige Prozesse und Daten wurden identifiziert
Durch eine Verfügbarkeitsanalyse wurden notwendige Daten und zeitkritische Prozesse bestimmt.
Potenzielle Gefährdungen wurden festgestellt
Für die in der Verfügbarkeitsanalyse identifizierten Daten und Prozesse wurden die möglichen Gefährdungen bzw. Bedrohungen festgestellt und aufgelistet.
Risikoanalyse wurde angefertigt
Auf Basis der durchgeführten Analysen wurde eine Risikobewertung durchgeführt, wie wahrscheinlich ein Problem bzw. Notfall eintritt und mit welchen Folgen zu rechnen ist.
Maßnahmekatalog wurde erstellt
Die Ergebnisse der durchgeführten Analysen wurden zusammengefasst, ein Katalog mit möglichen Maßnahmen für die Probleme bzw. Notfälle erarbeitet und entsprechende Handlungsanweisungen erstellt.
Dokumentation der IT-Infrastruktur ⟲
nicht vorhanden
Im Unternehmen ist keine Dokumentation zum Netzwerk bzw. der Infrastruktur vorhanden.
Komponenten und Schnittstellen
Die im Unternehmen vorhandenen Hardwarekomponenten und die dazugehörigen Schnittstellen sind dokumentiert.
Komponenten, Schnittstellen und Konfiguration
Zusätzlich zu den vorhandenen Hardwarekomponenten und deren Schnittstellen sind auch die Konfigurationseinstellungen dokumentiert und gesichert.
Komponenten, Schnittstellen, Konfiguration und Software
Neben der vollständigen Dokumentation zu der vorhandenen Hardware ist auch die jeweils installierte Software dokumentiert.
Vollständige Dokumentation und Notfallplan
Im Unternehmen liegt eine vollständige Dokumentation aller Hard- und Softwarekomponenten einschl. wichtiger Konfigurationseinstellungen vor. Darüber hinaus ist auch ein Notfallplan inkl. Wiederherstellungsanleitungen vorhanden.
Planung der Ressourcen ⟲
nicht durchgeführt
Bisher erfolgte im Unternehmen keine Planung von Ressourcen, die bei einem möglichen IT-Notfall benötigt werden.0
Personelle Ressourcen
Im Unternehmen wurden unter Berücksichtigung des vorhandenen Know-hows die eigenen Ressourcen sowie die Einbeziehung von IT-Dienstleistern abgestimmt bzw. geplant.0
Technische Ressourcen
Neben der personellen Planung erfolgte auch im technischen Bereich (Hardware-/Software-Ersatz bzw.Verfügbarkeit) eine Planung.0
Finanzielle Ressourcen
Zusätzlich zu den Planungen im personellen und technischen Bereich wurde auch ein Notfallbudget für den Einsatz externer Dienstleistungen und die Beschaffung von Ersatz-Hardware eingerichtet. 0
Physische Ressourcen
Für besondere Notfälle wurden neben den personellen, finanziellen und technischen Ressourcenplanungen auch Planungen hinsichtlich physischer Ressourcen durchgeführt (z. B. Ausweichbüros oder Heimarbeitsplätze).0
Kommunikation und Meldewesen ⟲
nicht vorhanden
Es sind keine internen oder externen Meldewege definiert.
Interne Meldewege sind definiert
Eine interne Meldekette (IT-Verantwortliche, Geschäftsleitung) ist definiert und dokumentiert.
Interne Meldewege sind definiert und bekannt
Eine interne Meldekette (IT-Verantwortliche, Geschäftsleitung) ist definiert und die Anprechpartner durch eine an jedem IT-Arbeitsplatz verfügbare Notfallkarte (ausgedruckt) bekannt.
Meldepflichten an Behörden
Neben den definierten internen Kommunikationswegen wurden auch die notwendigen Meldepflichten an Behörden (Polizei, Datenschutz, KRITIS, NIS-2 u. a.) geprüft und geregelt.
Kommunikation mit Kunden und Partnern
Über die Regelungen der internen Kommunikation und die Meldepflichten hinaus wurde ein Konzept zur proaktiven Kommunikation mit den Kunden und Geschäftspartnern erarbeitet.
Datenspeicherung ⟲
unregelmäßige Datensicherung
Im Unternehmen existiert kein Konzept zur Datensicherung. Wichtige Daten werden nur unregelmäßig gesichert.
regelmäßige Datensicherung
Relevante Daten werden regelmäßig gesichert, aber es erfolgt keine physische Trennung des Speichermediums oder das Speichermedium bleibt im Unternehmen.
regelmäßige Datensicherung, sichere Aufbewahrung
Die Datensicherung erfolgt regelmäßig und die Speichermedien werden an einem sicheren Ort (Bank, brandsicherer Safe) aufbewahrt.
Prüfung der Datensicherungen
Die korrekte Durchführung der Datensicherungen wird regelmäßig geprüft und auch das Wiederherstellen von Daten wird getestet. Das Datensicherungskonzept muss z. B. mit Sicht auf sich verändernde Datenbestände periodisch aktualisiert werden.
Einsatz Backup-Systems
Für die Datensicherung kommt im Unternehmen zum Zweck der Automatisierung ein Backup-/Wiederherstellungssystem zum Einsatz.
Management von Aktualisierungen und Updates ⟲
nicht vorhanden
Im Unternehmen sind keine Regelungen für die Aktualisierung bzw. Updates von Hard- und Softwarekomponenten vorhanden.
unregelmäßige Updates
Aktualisierungen und Updates von Hard- und Softwarekomponenten finden nur unregelmäßig und nicht auf allen Systemen statt.
Software regelmäßig, Hardware unregelmäßig
Software wird automatisiert durch die Konfigurationseinstellungen oder manuell aktualisiert. Die Firmware-Updates bei der Hardware erfolgen dagegen unregelmäßig.
Hard- und Software regelmäßig
Die Aktualisierungen von Hard- und Softwarekomponenten erfolgen durch entsprechende Konfigurationseinstellungen automatisiert bzw. nach einem festen Zeitplan.
Automatisierung und Monitoring von Updates
Die Aktualisierungen von Hard- und Softwarekomponenten erfolgen durch entsprechende Konfigurationseinstellungen oder durch den Einsatz eines Update-Servers automatisiert. Für die Überwachung von Firmware-Updates kommt ggf. ein Tool zum Einsatz.
Zugangs- und Zugriffsregelungen ⟲
nein
Im Unternehmen sind keine Zugangs- und/oder Zugriffsregelungen vorhanden.
Benutzer-/Rechtekonzept ist vorhanden
Im Unternehmen wurde ein Benutzer- und Rechtekonzept inkl. einem Passwortmanagement erarbeitet. Es wurde bisher jedoch noch nicht in die Praxis umgesetzt.
Benutzer-/Rechtekonzept ist umgesetzt
Im Unternehmen wurde ein Benutzer- und Rechtekonzept inkl. einem Passwortmanagement erarbeitet und erfolgreich in die Praxis umgesetzt.
Zentrale IT-Systeme sind zusätzlich gesichert
Wichtige zentrale IT-Systeme wie z. B. Server und Router sind zusätzlich physisch vor unerlaubtem Zugang gesichert.
Prüfung der Zugangs- und Zugriffsregelungen
Das Benutzer- und Rechtekonzept sowie die physischen Zugangsbeschränkungen werden periodisch überprüft und ggf. angepasst.
Durchführung von IT-Sicherheitsschulungen im Unternehmen ⟲
nein
Im Unternehmen werden keine Schulungen mit Bezug zur IT-Sicherheit durchgeführt.
Schulungen nur für die Leitungsebene
Schulungen zum Thema der IT-Sicherheit werden nur für die Geschäftsführung und für weitere Mitarbeitende der Leitungsebene durchgeführt.
Schulungen für Leitungsebene und weitere Verantwortliche
Schulungen zum Thema der IT-Sicherheit werden für die Geschäftsführung, Mitarbeitende der Leitungsebene und weitere Verantwortliche durchgeführt. Die Schulungen werden protokolliert und ausgewertet.
Periodische Schulungen für alle Mitarbeiter
Im Unternehmen werden Schulungen zur IT-Sicherheit regelmäßig nach einem festgelegten Zeitplan durchgeführt. Die Schulungen werden protokolliert und ausgewertet.
Zusätzliche Schulungen bei Vorfällen bzw. nach Bedarf
Gab es im Unternehmen einen besonderen IT-sicherheitsrelevanten Vorfall oder ist es aus der aktuellen IT-Sicherheitslage relevant, werden für alle Mitarbeitenden des Unternehmens zusätzliche Schulungen angeboten.
Monitoring der Systeme ⟲
nicht implementiert
Im Unternehmen ist kein Monitoring zwecks Überwachung sicherheitsrelevanter Aktionen bzw. Prozesse implementiert.
Update-/Patch-Management
Zwecks aktueller Hard- und Softwaresysteme wurde im Unternehmen ein Update- und Patch-Management inkl. einer Überwachung eingerichtet.
Netzwerk- und Systemmonitoring
Zusätzlich zum Update-/Patch-Management erfolgt ein Monitoring zur Netzwerk- und Systemüberwachung. Protokolle und Log-Dateien werden regelmäßig analysiert.
Schutz und Überwachung von Endgeräten
Neben der Überwachung des allgemeinen Netzwerkes wurde an den Endgeräten ein Aktivitäts- und Zugriffsmonitoring implementiert.
Sicherheitsinformations- und Ereignismanagement (SIEM)
Im Unternehmen erfolgt neben dem Monitoring eine Sammlung und Analyse von Sicherheitsdaten zur Echtzeitüberwachung und -alarmierung.
Verantwortlichkeiten für IT-Notfälle ⟲
Analyse der Organisation und der Prozesse ⟲
Dokumentation der IT-Infrastruktur ⟲
Planung der Ressourcen ⟲
Kommunikation und Meldewesen ⟲
Datenspeicherung ⟲
Management von Aktualisierungen und Updates ⟲
Zugangs- und Zugriffsregelungen ⟲
Durchführung von IT-Sicherheitsschulungen im Unternehmen ⟲
Monitoring der Systeme ⟲
Visualisierung
Reifegrad je Themenbereich
Empfehlungen (auf Basis der aktuellen zu angestrebten Reifegrade)
Sie sehen gerade einen Platzhalterinhalt von Turnstile. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
