Technische und organisatorische Maßnahmen zur Sicherstellung der Vertraulichkeit
Zur Sicherstellung der Vertraulichkeit bei IT-Systemen sind folgende Maßnahmen aufbauend auf den Maßnahmen zur Verfügbarkeit und Integrität von IT-Systemen erforderlich / sinnvoll:
| Maßnahmen zur Absicherung | |
| Schutz vor Viren | STARK EMPFOHLEN |
| Schutz vor der Installation unerwünschter Software oder unzulässiger Veränderung von Systemeinstellungen | STARK EMPFOHLEN |
| Schutz vor schädlichen Mails | STARK EMPFOHLEN |
| Schutz vor unerwünschten Netzwerkzugriffen (Firewall) | STARK EMPFOHLEN |
| Sicherstellung einer verschlüsselten Datenübertragung mit externen Stellen | STARK EMPFOHLEN |
| Sicherstellung einer abgesicherten Fernwartung von Dritten | STARK EMPFOHLEN |
| WLAN-Verschlüsselung | STARK EMPFOHLEN |
| Trennung in internes WLAN und Gäste-WLAN | STARK EMPFOHLEN |
| Hardening von IT-Systemen | STARK EMPFOHLEN |
| Berücksichtigung der IT-Sicherheit bei der Entwicklung von IT-Systemen (Security by Design) | STARK EMPFOHLEN |
| Verschlüsselung von gespeicherten Daten | STARK EMPFOHLEN |
| Schutz vor der Schadwirkung von Cyberangriffen wie z. B. Verschlüsselung durch Kryptotrojaner (u. a. durch EDR/XDR-Systeme) | EMPFOHLEN |
| Einrichtung einer DMZ (demilitarisierten Zone) für IT-Systeme, die aus dem Internet erreichbar sind | EMPFOHLEN |
| Network Access Control (NAC) zum Schutz von unautorisierten Endgeräten | EMPFOHLEN |
| Einschränkung der Endgerätekonnektivität auf vertrauenswürdige Geräte (Wechseldatenträger, Peripheriegeräte, ...) | EMPFOHLEN |
| Deaktivierung von Endgeräten im Verlustfall / bei Diebstahl | EMPFOHLEN |
| erweiterter physischer Zutrittsschutz zu wesentlichen Hardwarekomponenten / Rechnerräumen | EMPFOHLEN |
| Netzwerksegmentierung / Netzwerktrennung IT/OT | OPTIONAL |
| DataLeak-Prevention (DLP) für sensible Daten | OPTIONAL |
| Maßnahmen zum Zugriffsschutz | |
| Benutzer:innenauthentifizierung und rollenbasierte Berechtigungssysteme/-Vergabe | STARK EMPFOHLEN |
| Passwort-Policy zur Sicherstellung "sicherer" Passwörter | STARK EMPFOHLEN |
| Multifaktorauthentifizierung für Zugriffe von externen Netzwerken | STARK EMPFOHLEN |
| Sicherstellen von Bildschirmsperren | STARK EMPFOHLEN |
| Festlegung und Umsetzung notwendiger IT-Maßnahmen bei Onboarding / Offboarding / Funktionswechsel | STARK EMPFOHLEN |
| besonderer Schutz privilegierter User-Accounts / Systemadministrator:innen | EMPFOHLEN |
| erweiterte Überwachung von Logins | EMPFOHLEN |
| Überwachung/Logging von Systemadministrationsaktivitäten | EMPFOHLEN |
| Logging von Benutzer:innenaktivitäten | OPTIONAL |
| zentrales Identity-Management / Berechtigungssystem | OPTIONAL |
| ergänzende organisatorische Maßnahmen | |
| Festlegung und Umsetzung eines Vorgehens bei IT-Sicherheitsverletzungen | STARK EMPFOHLEN |
| Festlegung und Umsetzung eines Verfahrens für die Meldung von Geräteverlusten / Diebstahl | STARK EMPFOHLEN |
| Vereinbarung der notwendigen IT-Sicherheitsmaßnahmen (bei Systemoutsourcing / Cloudservices) | STARK EMPFOHLEN |
| IT-Security-Awareness-Ausbildung für Benutzer:innen | STARK EMPFOHLEN |
| IT-Sicherheitsrichtlinien für IT-Mitarbeiter:innen und Benutzer:innen | EMPFOHLEN |
| regelmäßige Security-Überprüfungen / Audits (Pentesting, Blackbox-Tests, Gesamtaudits, ...) | EMPFOHLEN |
| regelmäßige Audits / Prüfung aller Zugriffsberechtigungen | EMPFOHLEN |
Schutz vor Viren [STARK EMPFOHLEN]
Ziele/Nutzen: Der Schutz vor Viren dient der Abwehr von sich selbst verbreitenden Schadprogrammen, die Veränderungen an der Systemsoftware (Betriebssystem, ...), an sonstiger Software, an Daten oder mittelbar auch Schäden an der Hardware verursachen können.
Umsetzung:
Es müssen auf allen IT-Endgeräten (PCs, Notebooks, ...) sowie auf allen Servern geeignete Virenschutzprogramme installiert werden, die sowohl Viren erkennen als auch entfernen können. Die Virenschutzprogramme müssen regelmäßig (automatisch) aktualisiert werden und sind so zu konfigurieren, dass sie die zu schützenden IT-Geräte regelmäßig überprüfen. Daten-Downloads / Uploads aus ungeschützten / unbekannten Quellen (Internet) müssen vor dem Speichern gescannt werden.
Schutz vor der Installation unerwünschter Software oder unzulässiger Veränderung von Systemeinstellungen [STARK EMPFOHLEN]
Ziele/Nutzen: Um die Installation von Software, die unerwünscht, gefährlich oder nicht lizenziert ist, zu unterbinden, darf die Installation von Software nur durch Systemadministrator:innen oder im Rahmen einer zentralen Softwareverteilung erfolgen. Auch die Durchführung von zentralen Systemeinstellungen / -Konfigurationen darf zur Prävention vor einer missbräuchlichen Systemnutzung nur durch Systemadministrator:innen oder zentrale Konfigurationsmechanismen erfolgen.
Umsetzung:
Die Benutzer:innen-Accounts auf allen IT-Endgeräten (PCs, Notebooks, ...) sowie auf allen Servern sind so zu konfigurieren, dass die Installation von Software, der Start von ausführbaren Programmen und die Veränderung wesentlicher Systemeinstellungen / -Konfigurationen nicht möglich ist. Administrationsrechte auf IT-Endgeräten, Servern, aber auch auf Druckern und Multifunktionsgeräten müssen IT-Systemadministrator:innen vorbehalten sein.
Schutz vor schädlichen Mails [STARK EMPFOHLEN]
Ziele/Nutzen: Der Schutz vor schädlichen Mails dient zum Erkennen und der Abwehr von Mails, die Schadsoftware beinhalten (in Anhängen) oder schädliche Inhalte aufweisen (Links auf schädliche Internetinhalte, Phishing-Mails, Spam-Mails, ...).
Umsetzung:
Es muss am Mailserver ein geeigneter Schutzdienst installiert werden, der alle eingehenden Mails auf schädliche Inhalte überprüft, Anhänge in einer abgetrennten Umgebung (Sandbox) auf Schadwirkung testet und so erkannte schädliche Mails blockiert. Die Sicherheitssoftware für den Mailschutz muss regelmäßig (automatisch) aktualisiert werden.
Schutz vor unerwünschten Netzwerkzugriffen (Firewall) [STARK EMPFOHLEN]
Ziele/Nutzen: Firewalls dienen dem Schutz vor gefährlichen oder unerwünschten Netzwerkzugriffen und damit zum Schutz vor Cyberangriffen und/oder Datendiebstahl.
Umsetzung:
Es muss zumindest zwischen dem Internet und dem internen LAN eine geeignete Firewall installiert werden (Netzwerk-Firewall). Die Firewall muss so konfiguriert werden, dass unerwünschter Datenverkehr blockiert wird und erlaubter Datenverkehr passieren kann. Ist das LAN in mehrere Netzwerksegmente gegliedert, so sollten zwischen den Netzwerksegmenten ebenfalls Firewalls installiert werden.
Ergänzend zu den Netzwerk-Firewalls muss auch auf jedem IT-Endgerät eine Personal-Firewall installiert werden.
Sicherstellung einer verschlüsselten Datenübertragung mit externen Stellen [STARK EMPFOHLEN]
Ziele/Nutzen: Die sichere Verschlüsselung der Datenübertragung an Dritte oder bei externen Zugriffen dient zur Prävention vor dem Ausspähen oder der ungewollten Manipulation von Daten am Übertragungsweg zu externen Stellen.
Umsetzung:
Es müssen sämtliche Datenverbindungen für Zugriffe von externen Stellen oder zu externen Stellen mit geeigneten Verschlüsselungsmechanismen geschützt werden. Das können z. B. VPN-Lösungen für Netzwerkverbindungen zwischen Rechnersystemen (Server, Homeoffice) oder die zwingende Nutzung von HTTPS bzw. HSTS bei Internetdiensten sein.
Bei Mails an externe Stellen ist zumindest für Mails mit vertraulichen, sensiblen oder geheimen Inhalten eine Mailverschlüsselung vorzusehen.
Sicherstellung einer abgesicherten Fernwartung von Dritten [STARK EMPFOHLEN]
Ziele/Nutzen: Die Absicherung der Fernwartung von Dritten dient zum Schutz gegen unerwünschte Wartungs- oder Administrationszugriffe bei IT-Systemen, für die Wartungs- oder Administrationsaktivitäten durch externe IT-Dienstleister erforderlich sind.
Umsetzung:
Für die Wartungs- oder Administrationsaktivitäten durch externe IT-Dienstleister ist eine geeignete Fernwartungssoftware einzusetzen, die Fernzugriffe erst nach einer entsprechenden Freigabe erlaubt und die Beobachtung bzw. das Aufzeichnen aller Fernzugriffe ermöglicht.
WLAN-Verschlüsselung [STARK EMPFOHLEN]
Ziele/Nutzen: Die sichere Verschlüsselung von WLANs dient zur Prävention vor dem Ausspähen oder der ungewollten Manipulation während der Datenübertragung in eigenen Funknetzen (WLANs).
Umsetzung:
Sowohl interne als auch Gäste-WLANs müssen mit aktuellen, dem Stand der Technik entsprechenden Verschlüsselungsmechanismen geschützt werden.
Trennung in internes WLAN und Gäste-WLAN [STARK EMPFOHLEN]
Ziele/Nutzen: Die Trennung in das interne WLAN und das Gäste-WLAN dient dem Schutz des internen LANs (inkl. des internen WLANs) und der internen IT-Systeme vor potenziell ungeschützten oder gefährlichen IT-Endgeräten, die mit dem Gäste-WLAN verbunden sind.
Umsetzung:
Das interne WLAN und das Gäste-WLAN sind strikt zu trennen, sodass das Gäste-WLAN aus Sicht des internen LANs ein externes Netzwerk darstellt. Direkte Zugriffe aus dem Gäste-WLAN auf interne IT-Systeme dürfen nicht möglich sein.
Darüber hinaus sollte aber auch beim Gäste-WLAN sichergestellt werden, dass sich nur autorisierte Geräte mit dem WLAN verbinden dürfen (Gäste-WLAN-Passwort, Geräte-Accounts, ...).
Hardening von IT-Systemem [STARK EMPFOHLEN]
Ziele/Nutzen: Durch das Hardening von IT-Systemen sollen potenzielle Angriffspunkte oder mögliche Schwachstellen von IT-Systemen minimiert werden.
Umsetzung:
Das Hardening von IT-Systemen umfasst die Deaktivierung aller nicht erforderlichen Dienste, Schnittstellen (auch z. B. Bluetooth o. Ä.) und Zugriffs-Accounts sowie das Setzen von sicherheitsrelevanten Konfigurationseinstellungen gemäß entsprechender (Hersteller-) Empfehlungen. Auch der Startvorgang von Hardware ist durch sichere Boot-Mechanismen abzusichern (z. B. Aktivierung von SecureBoot bei der UEFI-Firmware).
Diese Maßnahmen sind sowohl auf IT-Endgeräten, Druckern, Multifunktionsgeräten, Servern als auch bei allen Softwarekomponenten erforderlich.
Berücksichtigung der IT-Sicherheit bei der Entwicklung von IT-Systemen [STARK EMPFOHLEN]
Ziele/Nutzen: Durch die Berücksichtigung von Sicherheitsaspekten in allen Phasen der Entwicklung von IT-Systemen (Planung, Konzeption, Implementierung, Einführung) können potenzielle Sicherheitslücken und Angriffspunkte bereits vor der Produktivsetzung verhindert werden (Security by Design). Das ist sowohl bei Eigenentwicklungen als auch bei Auftragsentwicklungen oder zugekauften IT-Systemen zu berücksichtigen. Bei Auftragsentwicklungen oder zugekauften IT-Systemen ist eine vertragliche Vereinbarung dazu sinnvoll.
Umsetzung:
Die erforderlichen Absicherungsmaßnahmen für IT-Systeme müssen bereits in der Planungs- und Konzeptionsphase analysiert und spezifiziert werden. Die Umsetzung der notwendigen Absicherungsmaßnahmen muss dann vor der Einführung bzw. Produktivsetzung im Rahmen der Qualitätssicherung noch entsprechend geprüft werden.
Mögliche Absicherungsmaßnahmen für IT-Systeme sind beispielsweise:
- Verschlüsselte Speicherung der Passwörter aller Zugriffs-Accounts
- Absicherung von Schnittstellen und APIs durch z. B. erforderliche Verbindungsautorisierung oder Web-Application-Firewalls
- Schutz von Web-Applikationen vor SQL-Injection durch z. B. Prepared Statements
- Schutz vor Web-Applikationen vor Cross-Site Scripting (XSS) durch z. B. HTML-Escaping aller Benutzereingaben oder durch sichere Input-Validierung
- Schutz von Web-Applikationen vor Cross-Site Request Forgery (CSRF) durch z. B. CSRF-Tokens oder durch Same-Site-Cookies
- Schutz von Verbindungssitzungen gegen Hijacking und Fixation durch z. B. Secure & HttpOnly-Cookies oder durch automatischen Session-Timeout
- Schutz vor unerlaubtem Upload von Daten oder Inhalten
Verschlüsselung von gespeicherten Daten [STARK EMPFOHLEN]
Ziele/Nutzen: Die sichere Verschlüsselung von gespeicherten Daten soll das Ausspähen bzw. den Diebstahl von Daten bei einem ungewollten direkten Zugriff auf das Speicherungsmedium verhindern (SSD, HDD, USB-Stick, ...). Unter direktem Zugriff wird dabei ein technischer Datenzugriff auf das Speichermedium unter Umgehung von Autorisierungs- und Berechtigungssystemen verstanden.
Umsetzung:
Die Speicherung von Daten auf mobilen IT-Endgeräten (Notebooks, Smartphones), auf extern betriebenen Servern und Datenspeichern (Cloud, Outsourcing, ...) oder auf Wechseldatenträgern (USB-Sticks, ...) muss verschlüsselt unter Nutzung geeigneter und transparenter Verschlüsselungsmethoden erfolgen. Dabei ist auch ein geeignetes Schlüssel- und Zertifikatsmanagement zu berücksichtigen.
Benutzer:innenauthentifizierung und rollenbasierte Berechtigungssysteme / -Vergabe [STARK EMPFOHLEN]
Ziele/Nutzen: Der Zugriff auf IT-Systeme darf nur autorisierten Benutzer:innen mit einem persönlichen, der Benutzer:in direkt zuordenbaren Login erfolgen. Um sicherzustellen, dass autorisierte Benutzer:innen nur auf Funktionalitäten und Daten zugreifen können, die sie zur Ausübung ihrer beruflichen Tätigkeiten benötigen ("need-to-know"), muss der Zugriff auf Funktionalitäten und Daten über ein rollenbasiertes Berechtigungssystem gesteuert werden.
Umsetzung:
Es dürfen sowohl auf Infrastrukturebene (IT-Endgeräte, Server, Drucker, Multifunktionsgeräte, ...) als auch auf Fachanwendungsebene nur IT-Systeme eingesetzt werden, bei denen der Zugang nur nach einer personenbezogenen Benutzer:innenauthentifizierung möglich ist und bei denen die Zugriffssteuerung erfolgt (sofern diese Differenzierung notwendig ist). Zum Identitätsnachweis bei der Benutzer:innenauthentifizierung sind ein sicheres Passwort und/oder sichere biometrische Merkmale erforderlich (Fingerabdruck, Gesichtserkennung, ...).
Passwort-Policy zur Sicherstellung "sicherer" Passwörter [STARK EMPFOHLEN]
Ziele/Nutzen: Die Vorgabe und Sicherstellung "sicherer" Passwörter für die Benutzer:innenauthentifizierung in IT-Systemen sind erforderlich, um das Hacken des Logins zu IT-Systemen mit dem Ziel des unautorisierten Zugriffs zu verhindern oder erheblich zu erschweren.
Umsetzung:
Die Vorgabe von "sicheren" Passwörtern und eines "sicheren" Authentifizierungsvorgangs muss in einer Passwort-Policy festgeschrieben und aufgrund laufend weiterentwickelter Angriffsmethoden kontinuierlich angepasst werden. Aktuelle Best-Practices für die Gestaltung "sicherer" Passwörter sind verlässlichen Quellen zu entnehmen (z. B. Empfehlung des BSI: BSI – Sichere Passwörter erstellen).
Die Umsetzung der Passwort-Policy und von Änderungen in der Passwort-Policy ist in allen IT-Systemen verbindlich durchzuführen. Dabei sind die IT-Systeme so zu konfigurieren, dass nur der Passwort-Policy entsprechende Passwörter vergeben werden können.
Multifaktorauthentifizierung für Zugriffe von externen Netzwerken [STARK EMPFOHLEN]
Ziele/Nutzen: Ist der Zugriff auf IT-Systeme auch von externen Netzwerken erlaubt (z. B. im Rahmen von Home-Office), so ist zur Absicherung des Zugriffs von unerwünschten Personen (die z. B. Username + Passwort regulärer User:innen ausgespäht haben) eine Absicherung mittels einer Multifaktorauthentifizierung erforderlich.
Umsetzung:
Für Zugriffe auf IT-Systeme von externen Netzwerken ist die Einrichtung einer zusätzlichen Bestätigung einer Systemanmeldung über einen getrennten, nur der autorisierten User:in zugänglichen Kommunikationskanal erforderlich (=Multifaktorauthentifizierung). Diese zusätzliche Bestätigung kann z. B. über eine Authentifizierungs-App auf einem persönlichen Smartphone oder über eine SMS oder einen Telefonanruf erfolgen.
Sicherstellung von Bildschirmsperren [STARK EMPFOHLEN]
Ziele/Nutzen: Um die ungewollte Nutzung von unbeaufsichtigten IT-Endgeräten durch nicht berechtigte Personen zu verhindern, ist es notwendig, die Benutzer:innen im Rahmen einer Regelung zu verpflichten, beim Verlassen des Arbeitsplatzes das IT-Endgerät zu sperren. Als weitere Vorsorge ist die Einrichtung einer automatischen Bildschirmsperre nach kurzer Inaktivität notwendig.
Umsetzung:
Es ist eine Verbindliche, allen Benutzer:innen zur Kenntnis zu bringende Regelung zu erstellen, die die Benutzer:innen verpflichtet, beim Verlassen des Arbeitsplatzes das eigene IT-Endgerät zu sperren. Außerdem sind alle IT-Geräte so zu konfigurieren, dass nach einer definierten Zeit (aktuelle Empfehlung des BSI: 5 Minuten) ab der letzten Benutzer:innen-Aktivität das IT-Endgerät automatisch gesperrt wird (Aktivierung der Bildschirmsperre).
Festlegung und Umsetzung notwendiger IT-Maßnahmen bei Onboarding / Offboarding / Stellenwechsel [STARK EMPFOHLEN]
Ziele/Nutzen: Um beim Onboarding und bei einem Stellenwechsel von Mitarbeiter:innen die Zuweisung / Bereitstellungen der notwendigen IT-Systeme und die Vergabe der notwendigen Zugriffsberechtigungen sicherzustellen, sind entsprechende Regelungen und Prozesse notwendig. Beim Offboarding sowie beim Stellenwechsel sind zusätzlich Regelungen und Prozesse zum Entzug der bisherigen Zugriffsberechtigungen bzw. die Rückgabe von IT-Endgeräten vorzusehen, um so nicht mehr erforderliche und ungewollte Datenzugriffe zu verhindern.
Umsetzung:
Die erforderlichen Prozesse für Onboarding, Offboarding und einen Stellenwechsel sind zu definieren und in der Organisation einzuführen. Beim Entzug bisheriger Zugriffsberechtigungen bzw. bei der Rückgabe von IT-Geräten im Rahmen des Offboardings oder bei einem Stellenwechsel ist auch der Umgang mit Daten, die aus etwaiger Privatnutzung dienstlicher IT-Geräte stammen sowie die Übergabe der dienstlichen Daten an eine Nachfolger:in zu regeln.
Festlegung und Umsetzung eines Vorgehens bei IT-Sicherheitsverletzungen [STARK EMPFOHLEN]
Ziele/Nutzen: Um bei IT-Sicherheitsverletzungen (Cyberangriffe, unberechtigte Zugriffe, ...) eine möglichst rasche Reaktion zur Durchführung notwendiger Abwehrmaßnahmen und von Maßnahmen zur Minimierung negativer Auswirkungen sicherzustellen, ist eine detaillierte Festlegung des Vorgehens bei IT-Sicherheitsverletzungen inkl. aller relevanter Zuständigkeiten erforderlich.
Umsetzung:
Ausgangspunkt für das Vorgehen zur Reaktion auf IT-Sicherheitsverletzungen ist das Erkennen der IT-Sicherheitsverletzung aufgrund entsprechender Alarme von IT-Schutzdiensten, einer manuellen Erkennung oder aufgrund von externen Meldungen. Im Rahmen des zu definierenden Vorgehens sind zumindest folgende Maßnahmen vorzusehen:
- Erstanalyse der IT-Sicherheitsverletzung und etwaige Durchführung von Sofortmaßnahmen zur Schadensabwehr
- Kommunikation / Meldung der Sicherheitsverletzung an relevante Stellen (Management, Fachabteilungen, Cyber-Versicherung, Datenschutzbehörde, ...)
- Umfassende Analyse der IT-Sicherheitsverletzung, Umsetzung nachhaltiger Maßnahmen zur Problemlösung und (sofern erforderlich) zur Behebung / Minimierung von etwaigen Schäden
- Dokumentation der IT-Sicherheitsverletzung
Zur Umsetzung dieses Vorgehens sind die notwendigen organisatorischen Maßnahmen inkl. Verfügbarkeit und Erreichbarkeit von qualifiziertem Personal zu setzen.
Festlegung und Umsetzung eines Verfahrens für die Meldung von Geräteverlusten / Diebstahl [STARK EMPFOHLEN]
Ziele/Nutzen: Um im Fall des Verlusts oder des Diebstahls von IT-Endgeräten mögliche negative Auswirkungen zu vermeiden, ist ein entsprechendes Meldeverfahren inkl. der Erreichbarkeit von zuständigen IT-Mitarbeiter:innen erforderlich.
Umsetzung:
Es ist ein Meldeverfahren für den Verlust oder Diebstahl von IT-Endgeräten festzulegen und die notwendigen organisatorischen Maßnahmen zur Umsetzung inkl. Verfügbarkeit und Erreichbarkeit von qualifiziertem Personal zu setzen.
Vereinbarung der notwendigen IT-Sicherheitsmaßnahmen (bei Systemoutsourcing / Cloudservices) [STARK EMPFOHLEN]
Ziele/Nutzen: Bei IT-Systemen, die von externen IT-Dienstleistern betrieben werden (Outsourcing, Cloudlösungen) besteht kein direkter Einfluss auf die Umsetzung der erforderlichen Maßnahmen zur Informationssicherheit. Zur Sicherstellung der erforderlichen Maßnahmen zur Informationssicherheit ist daher eine entsprechende vertragliche Absicherung erforderlich.
Umsetzung:
Die durch den externen IT-Dienstleister sicherzustellenden Maßnahmen zur Informationssicherheit sind in den vertraglichen Vereinbarungen mit dem externen IT-Dienstleister entsprechend zu berücksichtigen. Dabei muss auch festgelegt werden, wie der externe IT-Dienstleister die Umsetzung der erforderlichen Maßnahmen zur Informationssicherheit nachzuweisen hat. Bei fehlender oder mangelhafter Umsetzung von Maßnahmen zur Informationssicherheit sind entsprechende Korrekturmaßnahmen und/oder Pönalzahlungen vorzusehen.
Bei besonders kritischen IT-Systemen kann auch eine regelmäßige Auditierung der Maßnahmen zur Informationssicherheit beim externen IT-Dienstleister vorgesehen werden.
IT-Security-Awareness-Ausbildung für Benutzer:innen [STARK EMPFOHLEN]
Ziele/Nutzen: Ziel einer IT-Security-Awareness-Ausbildung ist die Sensibilisierung der IT-Benutzer:innen hinsichtlich möglicher Cybergefahren und die Ausbildung der IT-Benutzer:innen im Umgang mit diesen Cybergefahren u. a. zur Vermeidung möglicher Schäden.
Umsetzung:
Es sind geeignete Kurse zur IT-Security-Awareness auszuwählen und zu beschaffen (eLearnings, Klassenraumkurse, ...), die dann alle Benutzer:innen absolvieren müssen. Geeignete Kurse zur IT-Security-Awareness müssen zumindest die häufigsten Cybergefahren (bei Mails, im Internet, ...), Methoden des Social Engineerings und die notwendigen Maßnahmen bei erkannten Cybergefahren beinhalten.
Nach der Erstausbildung sollte die IT-Security-Awareness-Ausbildung regelmäßig aktualisiert und durch die Benutzer:innen auch wiederholt absolviert werden.
Die Inhalte dieser Seite sind unter CC0 bereitgestellt.
