Selbst-Check

Die DSGVO fordert von Verantwortlichen und Auftragsverarbeitern in Art. 32 DSGVO ein Schutzniveau, das dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessenen ist. Dabei sollen zur Gewährleistung der Sicherheit der insbesondere die Risiken berücksichtigt werden, die aus einer Verletzung der Verfügbarkeit, Vertraulichkeit und Integrität der personenbezogenen Daten, der an deren Verarbeitung beteiligten IT-Systeme, Dienste und Fachprozesse hervorgehen können. Ziel ist es, diese Risiken einzudämmen, indem wirksame technische und organisatorische Maßnahmen (TOM) umgesetzt werden.

Da die DSGVO technikneutral formuliert wurde, finden sich darin keine konkreten Maßnahmen, die Schritt für Schritt abgearbeitet werden können. Stattdessen steht es grundsätzlich jedem Verantwortlichen frei, selbst diejenigen TOM auszuwählen, die passend zu der eigenen Art der Verarbeitung und Unternehmensgröße sind, sofern damit ein wirksames angemessenes Schutzniveau erreicht werden kann.

Diese Checkliste erhebt keinen Anspruch auf Vollständigkeit, gibt uns aber einen guten Einblick in Ihre bereits umgesetzten technischen und organisatorischen Maßnahen. Bitte füllen Sie die Checkliste soweit wie möglich aus, gerne auch mit Unterstützung Ihrer externen Dienstleister. Bitte geben Sie dann bei den jeweiligen Sektionen an, wer die Sektion ausgefüllt hat.

Selbst-Check

Contact

Kontaktdaten

Geben Sie hier bitte Ihre Kontaktdaten ein:

Unternehmen

Vorname

Name

e-Mail-Adresse

Telefon

Webseite

1. Management und Organisation

Mangelhafte Sicherheitsstrukturen in einer Organisation können den Betriebsablauf erheblich gefährden. Bestehende Fachkompetenzen sind daher zu nutzen. Dabei ist nicht nur der IT-Verantwortliche, sondern auch der Datenschutzbeauftragte (DSB) im Prozess der Umsetzung von Sicherheitsanforderungen einzubinden.

Gibt es eine passende Struktur für Informationssicherheit, die in die Abläufe der Organisation eingebunden ist?

Nein

Nicht bekannt

Sind Sicherheitsrichtlinien definiert, von der Leitung freigegeben und dem Personal bekannt?

Nein

Nicht bekannt

Sind die Rollen der Mitarbeitenden im Sicherheitsprozess klar definiert?

Nein

Nicht bekannt

Werden technische und organisatorische Maßnahmen regelmäßig nach dem PDCA-Zyklus überprüft?

Nein

Nicht bekannt

Werden Sicherheitskonzepte und -dokumentationen regelmäßig geprüft und aktualisiert?

Nein

Nicht bekannt

Sind Rollen und Zuständigkeiten für Sicherheit im Unternehmen bekannt und besetzt (z. B. ISB, IT-Leitung, DSB)?

Nein

Nicht bekannt

Wird der DSB konsequent in Sicherheitsfragen eingebunden?

Nein

Nicht bekannt

Verfügt der DSB über ausreichende Qualifikation für Sicherheitsfragen und Möglichkeiten zur Fortbildung?

Nein

Nicht bekannt

Führt der DSB regelmäßig Audits zur Sicherheit der Verarbeitung nach Art. 32 DSGVO durch?

Nein

Nicht bekannt

Ist bekannt, welche Datenschutzaufsicht zuständig ist und wann Meldepflichten nach Art. 33 und 34 DSGVO greifen?

Nein

Nicht bekannt

Gibt es klare Eskalationsprozesse für Sicherheitsvorfälle, inklusive Notfallmanagement?

Nein

Nicht bekannt

Werden Sicherheitsvorfälle konsequent dokumentiert (Security Reporting)?

Nein

Nicht bekannt

Wird die Zusammenarbeit zwischen DSB und ISB aktiv durch die Unternehmensleitung unterstützt?

Nein

Nicht bekannt

Werden neue digitale Bedrohungen erfasst und deren Auswirkungen auf das Unternehmen bewertet?

Nein

Nicht bekannt

Diese Sektion wurde ausgefüllt von:

(kann entfallen, wenn bereits oben angegeben)

Vorname

Name

2. Physikalische Sicherheit der Infrastruktur

Der persönliche Zugang zu IT-Systemen und personenbezogenen Daten muss Unbefugten erschwert werden. Ebenso sind gravierende Schäden durch (Natur-)Ereignisse wie Feuer oder Wasser bestmöglich zu verhindern.

Gibt es ein umfassendes Konzept zur Gebäudeabsicherung, z. B. für Brandschutz und Zutrittskontrollen?

Nein

Nicht bekannt

Liegt ein Konzept für Zutrittsregelungen und physische Zugangskontrollen (Perimeterschutz) vor?

Nein

Nicht bekannt

Gibt es klare Regeln für den Umgang mit Besuchern, z. B. Begleitung, Ausweise und Protokollierung?

Nein

Nicht bekannt

Werden externe Dienstleister nach festen Regeln eingebunden, z. B. mit Verschwiegenheitserklärung und Begleitung in Sicherheitszonen?

Nein

Nicht bekannt

Sind unterschiedliche Sicherheitszonen im Gebäude definiert, z. B. für Serverräume oder Besucherbereiche?

Nein

Nicht bekannt

Bei Sicherheitszonen: Gibt es eine aktuelle Übersicht, wer Zugang zu welchen Sicherheitszonen hat?

Nein

Nicht bekannt

Bei Sicherheitszonen: Wird der Zugang zu Sicherheitszonen technisch abgesichert, z. B. per Schlüssel, Chipkarte oder Mehrfaktor?

Nein

Nicht bekannt

Bei Sicherheitszonen: Werden an Übergängen zwischen Sicherheitszonen selbstschließende Türen eingesetzt?

Nein

Nicht bekannt

Bei Sicherheitszonen: Sind Sicherheitszonen klar beschildert, um unbefugtes Betreten zu vermeiden?

Nein

Nicht bekannt

Sind sichere Schließsysteme im Einsatz und wird die Schlüsselvergabe dokumentiert?

Nein

Nicht bekannt

Liegt ein aktuelles Brandschutzkonzept vor?

Nein

Nicht bekannt

Sind Feuer- und Rauchmeldeanlagen Teil des Brandschutzkonzepts?

Nein

Nicht bekannt

Werden in Serverräumen automatische Löschsysteme eingesetzt und Arbeitsschutzvorgaben beachtet?

Nein

Nicht bekannt

Werden feuerhemmende Schränke oder Tresore für wichtige Komponenten wie Backups genutzt?

Nein

Nicht bekannt

Werden Gebäude und Infrastruktur regelmäßig geprüft und gewartet, z. B. Wände, Fenster oder Leitungen?

Nein

Nicht bekannt

Ist das Betriebsgelände umzäunt?

Nein

Nicht bekannt

Sind Fenster und Türen im Erdgeschoss einbruchshemmend, z. B. nach DIN EN 1627?

Nein

Nicht bekannt

Sind Alarmanlagen zur Einbruchserkennung im Einsatz, insbesondere außerhalb der Arbeitszeiten?

Nein

Nicht bekannt

Wird Sicherheitspersonal eingesetzt, ggf. auch extern?

Nein

Nicht bekannt

Wird Videoüberwachung datenschutzkonform zur Zugangskontrolle eingesetzt?

Nein

Nicht bekannt

Sind Serverräume ausreichend klimatisiert?

Nein

Nicht bekannt

Gibt es in Serverräumen keine (zu öffnenden) Fenster?

Nein

Nicht bekannt

Sind Serversysteme durch USV-Anlagen gegen Stromausfälle und -schwankungen abgesichert?

Nein

Nicht bekannt

Wird aktiv gegen Elementargefahren wie Feuer, Überschwemmung oder Vandalismus vorgesorgt?

Nein

Nicht bekannt

Wurden Risiken durch Überflutung oder Starkregen geprüft, besonders bei Serverräumen im Keller?

Nein

Nicht bekannt

Diese Sektion wurde ausgefüllt von

(kann entfallen, wenn bereits oben angegeben)

Vorname

Name

3. Awareness der Mitarbeiter

Beschäftige stehen mittlerweile verstärkt im Fokus von Cyberattacken. Mittels raffinierten Social Engineering Techniken sollen sie dazu verleitet werden, sicherheitskritische Aktionen auszuführen. Mitarbeiter müssen daher gerade in Sicherheitsfragen geschult sein, um solche Angri ffe zu vereiteln.

Erhält das gesamte Personal passende Schulungen zu Informationssicherheit und Datenschutz – je nach Funktion?

Nein

Nicht bekannt

Werden neue Mitarbeitende zeitnah zum Thema Datenschutz geschult?

Nein

Nicht bekannt

Finden regelmäßige Datenschutz- und Sicherheitsschulungen für bestehende Mitarbeitende statt?

Nein

Nicht bekannt

Werden alle Mitarbeitenden regelmäßig über Neuerungen im Datenschutz und der IT-Sicherheit informiert?

Nein

Nicht bekannt

Sind Richtlinien zu Themen wie E-Mail-Nutzung oder Verschlüsselung aktuell und für alle leicht auffindbar?

Nein

Nicht bekannt

Ist das Datenschutzhandbuch für alle relevanten Mitarbeitenden zugänglich?

Nein

Nicht bekannt

Kennen geschulte Mitarbeitende die internen Abläufe bei Sicherheitsvorfällen, z. B. Meldung nach Art. 33 DSGVO?

Nein

Nicht bekannt

Werden Mitarbeitende geschult, Social-Engineering-Angriffe zu erkennen und richtig zu reagieren?

Nein

Nicht bekannt

Werden Mitarbeitende über Risiken bei der E-Mail-Kommunikation informiert, z. B. durch verschlüsselte Anhänge?

Nein

Nicht bekannt

Lernen Mitarbeitende, gefälschte E-Mails anhand typischer Merkmale wie Absender oder Links zu erkennen?

Nein

Nicht bekannt

Sind Mitarbeitende, die mit Externen arbeiten, für den richtigen Umgang mit Daten und Prozessen sensibilisiert?

Nein

Nicht bekannt

Werden Mitarbeitende im Homeoffice über sichere Nutzung und spezifische Risiken informiert?

Nein

Nicht bekannt

Diese Sektion wurde ausgefüllt von

(kann entfallen, wenn bereits oben angegeben)

Vorname

Name

4. Authentifizierung

Digitale Zugangsbeschränkungen helfen im Alltag. Nutzer von IT-Systemen und Diensten müssen daher Ihre Zugangsberechtigung mit geeigneten Mitteln nachweisen.

Werden alle Mitarbeitenden in den sicheren Umgang mit Authentifizierungsverfahren eingewiesen?

Nein

Nicht bekannt

Gibt es einen zentralen Prozess zur Verwaltung von Nutzerkonten – von der Anlage bis zur Löschung?

Nein

Nicht bekannt

Erhält jeder Nutzer eine eindeutige Benutzerkennung?

Nein

Nicht bekannt

Werden Gruppenkennungen vermieden?

Nein

Nicht bekannt

Bei zwingender Nutzung von Gruppenkennunge: Werden bei Nutzung die Nutzeraktivitäten datenschutzkonform protokolliert?

Nein

Nicht bekannt

Werden starke Passwörter nach klarer Richtlinie verwendet?

Nein

Nicht bekannt

Wird die Passwortrichtlinie für starke Passwörter automatisch in den Systemen umgesetzt?

Nein

Nicht bekannt

Wird die Verwendung schwacher Passwörter technisch oder per Richtlinie verhindert?

Nein

Nicht bekannt

Wird die Notwendigkeit regelmäßiger Passwortwechsel überprüft und an die Passwortstärke angepasst?

Nein

Nicht bekannt

Werden Passwörter nach Sicherheitsvorfällen sofort gesperrt und neu vergeben?

Nein

Nicht bekannt

Werden Passwörter nach Sicherheitsvorfällen sofort gesperrt und neu vergeben?

Nein

Nicht bekannt

Ist die Weitergabe von Passwörtern verboten und werden Ausnahmen durch die IT dokumentiert?

Nein

Nicht bekannt

Werden Beschäftigte darüber informiert, Passwörter nicht schriftlich festzuhalten?

Nein

Nicht bekannt

Werden Passwörter im Browser nur mit Masterpasswort gespeichert?

Nein

Nicht bekannt

Werden Passwörter ohne zentrales Identitätsmanagement nicht mehrfach für verschiedene Dienste genutzt?

Nein

Nicht bekannt

Werden Passwörter nicht per E-Mail übermittelt?

Nein

Nicht bekannt

Werden für lokale Admin-Konten besonders starke und individuelle Passwörter genutzt?

Nein

Nicht bekannt

Wird bei risikoreichen Verarbeitungstätigkeiten Zwei- oder Mehr-Faktor-Authentifizierung eingesetzt?

Nein

Nicht bekannt

Wird für Administratorkonten konsequent Zwei-Faktor-Authentifizierung eingesetzt?

Nein

Nicht bekannt

Werden biometrische Verfahren bei Zwei-Faktor-Authentifizierung nur in Ausnahmefällen zentral eingesetzt, lokal jedoch häufiger genutzt?

Nein

Nicht bekannt

Werden Zugänge nach zu vielen Fehlversuchen automatisch gesperrt?

Nein

Nicht bekannt

Gibt es eine Zeitverzögerung zwischen Login-Versuchen zur Abwehr automatischer Angriffe?

Nein

Nicht bekannt

Wird Nutzern nach erfolgreichem Login die Anzahl fehlgeschlagener Anmeldeversuche angezeigt?

Nein

Nicht bekannt

Werden Passwörter nicht im Klartext, sondern mit sicheren kryptographischen Verfahren gespeichert?

Nein

Nicht bekannt

Werden Passwörter nach einem Sicherheitsvorfall automatisch gesperrt?

Nein

Nicht bekannt

Können eingesetzte Chipkarten auch für Standardauthentifizierungen genutzt werden?

Nein

Nicht bekannt

Werden Standard-Authentifizierungsinformationen von Herstellern nach der Installation geändert?

Nein

Nicht bekannt

Diese Sektion wurde ausgefüllt von

(kann entfallen, wenn bereits oben angegeben)

Vorname

Name

5. Rollen-/Rechtekonzept

Nutzer sollen nur auf die personenbezogenen Daten zugreifen können, die für ihre Tätigkeit erforderlich sind. Durch Einführung von Benutzerrechten zu bestimmten Rollen (z. B. Buchhaltung, IT-Administration) werden unterschiedliche Rechte an konkrete Personen zugewiesen.

Werden Rollenprofile für Beschäftigte unter Berücksichtigung des Verzeichnisses der Verarbeitungstätigkeiten erstellt?

Nein

Nicht bekannt

Wird der Zugang zu Informationen und Bereichen über das Rollen-/Rechtekonzept gezielt gesteuert?

Nein

Nicht bekannt

Gibt es klare Regelungen zur Zuweisung und zum Entzug von Rollen für Mitarbeiter?

Nein

Nicht bekannt

Wird regelmäßig überprüft, ob die Rollenvergabe den Vorgaben und aktuellen Anforderungen entspricht?

Nein

Nicht bekannt

Erhalten nur Mitarbeiter mit administrativen Aufgaben Administratorkennungen?

Nein

Nicht bekannt

Werden verschiedene administrative Rollen wie Benutzeranlage, Backup oder Firewall-Konfiguration eingerichtet?

Nein

Nicht bekannt

Wird auf die Nutzung von Superuser-Konten soweit möglich verzichtet?

Nein

Nicht bekannt

Haben IT-Administratoren separate Kennungen für administrative und normale Tätigkeiten?

Nein

Nicht bekannt

Gibt es eine Regelung, dass Administratorrechte nicht für Internet oder E-Mails genutzt werden?

Nein

Nicht bekannt

Diese Sektion wurde ausgefüllt von

(kann entfallen, wenn bereits oben angegeben)

Vorname

Name

6. Endgeräte (Clients)

Die für die tägliche Arbeit genutzten Endgeräte der Nutzer müssen dauerhaft abgesichert werden. Keine oder nur unzureichende Regelungen führen meist zu offenen Schwachstellen auf Clientsystemen, von denen dann eine erhebliche Gefährdung für die gesamte Organisation ausgehen kann.

Gibt es eine Geräteverwaltung, die den Einsatz von Endgeräten nach Bereichen erfasst?

Nein

Nicht bekannt

Werden Endgeräte nach einer bestimmten Inaktivitätszeit automatisch gesperrt?

Nein

Nicht bekannt

Werden bei möglicher Einsicht durch Unbefugte Blickschutzfolien an Monitoren oder Notebooks eingesetzt?

Nein

Nicht bekannt

Ist auf Endgeräten eine Firewall aktiviert, die unerwünschte Dienste blockiert?

Nein

Nicht bekannt

Wird eine aktuelle Anti-Viren- oder Endpoint-Protection-Lösung mit klaren Vorgehensregeln bei Warnmeldungen genutzt?

Nein

Nicht bekannt

Werden Schadcode-Alarmmeldungen zentral durch die IT-Administration erfasst?

Nein

Nicht bekannt

Gibt es einen definierten Ablaufplan der IT-Administration für den Fall eines Schadcode-Befalls?

Nein

Nicht bekannt

Gibt es ein Patch-Management-Konzept mit Update-Plan und Software-Übersicht?

Nein

Nicht bekannt

Werden Informationen zu Sicherheitslücken der eingesetzten Software regelmäßig ausgewertet?

Nein

Nicht bekannt

Werden Sicherheitsupdates für Betriebssysteme und Software, soweit möglich, automatisch eingespielt?

Nein

Nicht bekannt

Werden personenbezogene Daten nur auf Speichermedien abgelegt, die ins Backup einbezogen sind?

Nein

Nicht bekannt

Wird die Nutzung externer Geräte wie USB-Sticks oder Smartphones technisch auf das notwendige Minimum beschränkt?

Nein

Nicht bekannt

Ist der Auto-Start von externen Medien deaktiviert?

Nein

Nicht bekannt

Erfolgt Fernwartung von Clients nur verschlüsselt, mit Admin-Authentifizierung und Nutzerfreigabe?

Nein

Nicht bekannt

Werden nur Betriebssysteme und Software eingesetzt, die noch mit Sicherheitsupdates versorgt werden?

Nein

Nicht bekannt

Wird die Ausführung von aus unsicheren Quellen heruntergeladener Software verhindert?

Nein

Nicht bekannt

Wird der Zugang zu Websites restriktiv verwaltet und über Sperrlisten abgesichert?

Nein

Nicht bekannt

Wird die automatische Ausführung von Programmen aus dem Download-Verzeichnis des Browsers verhindert?

Nein

Nicht bekannt

Werden Anwendungen auf Endgeräten ohne Administratorrechte ausgeführt?

Nein

Nicht bekannt

Gibt es einen Prozess zur sicheren Datenlöschung vor Weitergabe eines Endgeräts an andere Mitarbeiter?

Nein

Nicht bekannt

Gibt es ein Sicherheitskonzept für den Einsatz von Druckern, Kopierern und Multifunktionsgeräten?

Nein

Nicht bekannt

Diese Sektion wurde ausgefüllt von

(kann entfallen, wenn bereits oben angegeben)

Vorname

Name

7. Mobile Datenspeicher

Der weit verbreitete Einsatz von USB-Datenträgern, Notebooks und Smartphones macht Regelungen zur Nutzung und auch für den Verlustfall erforderlich. Ungeschützte Speichermedien ermöglichen ansonsten Unbefugten ohne großen Aufwand Zugriff auf sensible Daten.

Werden mobile Endgeräte mit starker Verschlüsselung wie Festplatten- oder Container-Lösungen geschützt?

Nein

Nicht bekannt

Werden Backup- und Synchronisierungsmechanismen genutzt, um Datenverlust bei Verlust oder Diebstahl zu verhindern?

Nein

Nicht bekannt

Ist der Zugang zu Smartphones nur nach Authentifizierung mit geeigneter Kennung möglich?

Nein

Nicht bekannt

Werden biometrische Zugangsverfahren bei Smartphones nur mit lokal gespeicherten Templates und für Daten mit geringem Risiko eingesetzt?

Nein

Nicht bekannt

Wird Cloud-Speicher für Smartphone-Backups nur nach Prüfung der datenschutzrechtlichen Anforderungen genutzt?

Nein

Nicht bekannt

Werden Smartphones über Mobile-Device-Management-Lösungen konfiguriert, verwaltet und im Verlustfall gefunden oder gelöscht?

Nein

Nicht bekannt

Werden Apps auf Smartphones nur aus sicheren Quellen installiert und vorab getestet sowie freigegeben?

Nein

Nicht bekannt

Wird geprüft, ob mobile Arbeitsplätze mit reduziertem Datenzugriff gegenüber dem internen Netz auskommen?

Nein

Nicht bekannt

Werden bei Bedarf Diebstahlsicherungen wie verschließbare Stahlkabel für Notebooks bereitgestellt?

Nein

Nicht bekannt

Gibt es Regelungen zur Privatnutzung von Notebooks und Smartphones, idealerweise mit Verbot der Privatnutzung?

Nein

Nicht bekannt

Kennen die Mitarbeiter die Regelungen zum Vorgehen bei Verlust eines mobilen Endgeräts?

Nein

Nicht bekannt

Gibt es eine Richtlinie zum sicheren Umgang mit mobilen Datenträgern und sind Mitarbeiter darin geschult?

Nein

Nicht bekannt

Werden mobile Datenträger vor und nach der Nutzung sicher gelöscht?

Nein

Nicht bekannt

Diese Sektion wurde ausgefüllt von

(kann entfallen, wenn bereits oben angegeben)

Vorname

Name

8. Serversysteme

Serversysteme müssen mit besonderer Sorgfalt abgesichert werden, da Sicherheitsverletzungen dort i. d. R. aufgrund der großen Menge personenbezogener Daten enorme Auswirkungen haben können.

Dürfen Server nur von geschultem Personal administriert werden?

Nein

Nicht bekannt

Werden Administrationsrollen nach dem Least-Privilege-Prinzip für unterschiedliche Aufgaben vergeben?

Nein

Nicht bekannt

Gibt es einen geregelten Prozess zum zeitnahen Einspielen von Sicherheitsupdates auf Servern?

Nein

Nicht bekannt

Werden für Server-Administration eigene Endgeräte mit separater Netzwerkverbindung genutzt?

Nein

Nicht bekannt

Wird bei Serveranwendungen, insbesondere für Administratoren, konsequent Zwei-Faktor-Authentifizierung eingesetzt?

Nein

Nicht bekannt

Werden nicht benötigte Standard-Server-Dienste deaktiviert oder deinstalliert?

Nein

Nicht bekannt

Werden serverlokale Dienste durch Firewalls vor externem Zugriff geschützt?

Nein

Nicht bekannt

Werden zusätzliche Härtungsmaßnahmen für das Serverbetriebssystem geprüft und umgesetzt?

Nein

Nicht bekannt

Wird die Versendung von Telemetriedaten an Hersteller deaktiviert, wenn sie nicht erforderlich ist?

Nein

Nicht bekannt

Diese Sektion wurde ausgefüllt von

(kann entfallen, wenn bereits oben angegeben)

Vorname

Name

9. Websites und Webanwendungen

Webseiten und Webanwendungen stellen meist leicht zugängliche Plattformen für Angriffe dar, die mit bekannten Best-Practice-Ansätzen meist gut abgesichert werden können.

Wird für Websites und Webanwendungen HTTPS nach aktuellem Stand der Technik (TLS 1.2 oder 1.3) genutzt?

Nein

Nicht bekannt

Werden Datenbanken auf dem Webserver durch Firewalls abgesichert?

Nein

Nicht bekannt

Erfolgt der Fernzugang zu Webservern nur verschlüsselt und mit Zwei-Faktor-Authentifizierung?

Nein

Nicht bekannt

Sind Administrationsbereiche der Webanwendungen nur von bestimmten IP-Adressen aus zugänglich?

Nein

Nicht bekannt

Dürfen Administrationsaufgaben an Webservern nur von geschultem Personal durchgeführt werden?

Nein

Nicht bekannt

Gibt es einen geregelten Prozess zur Information über Sicherheitsupdates und deren zeitnahes Einspielen, insbesondere bei CMS?

Nein

Nicht bekannt

Werden Webanwendungen regelmäßig nach Good-Practice-Standards wie dem OWASP Testing Guide getestet?

Nein

Nicht bekannt

Werden personenbezogene Daten wie E-Mail-Adressen nicht per HTTP-GET übertragen?

Nein

Nicht bekannt

Sind Webserver, Anwendungslogik und Datenhaltung getrennt und in eine geeignete DMZ mit Firewall-Architektur eingebunden?

Nein

Nicht bekannt

Werden Inhalte, die nicht öffentlich sein sollen, per robots.txt von Suchmaschinen ausgeschlossen?

Nein

Nicht bekannt

Diese Sektion wurde ausgefüllt von

(kann entfallen, wenn bereits oben angegeben)

Vorname

Name

10. Netzwerk

Angriffe über das Internet auf das eigene Netzwerk sind in vielen Organisationen möglich. Damit sich dadurch z. B. kein Schadcode ausbreiten kann, ist die eigene Netzwerkstruktur vor solchen negativen Fremdeinflüssen aktiv zu schützen.

Wird das Netzwerk durch Segmentierung und Trennung sensitiver Netze von Verwaltungsnetzen geschützt?

Nein

Nicht bekannt

Ist am zentralen Internetübergang eine Firewall im Einsatz?

Nein

Nicht bekannt

Werden alle nicht benötigten Netzwerkdienste blockiert?

Nein

Nicht bekannt

Werden alle HTTP(S)-Verbindungen über einen Web-Proxy geleitet?

Nein

Nicht bekannt

Werden HTTP(S)-Verbindungen außerhalb des Web-Proxies blockiert und Ausnahmen vermieden?

Nein

Nicht bekannt

Werden IOCs (Indicators of Compromise) wie verdächtige URLs oder IP-Hashes protokolliert und blockiert?

Nein

Nicht bekannt

Werden IOCs regelmäßig aus geeigneten Quellen aktualisiert?

Nein

Nicht bekannt

Werden interne Systeme und internetseitige Server durch eine geeignete Firewall-Architektur wie eine DMZ getrennt abgesichert?

Nein

Nicht bekannt

Werden WLAN-Zugänge nur über aktuelle Router mit sicheren Verfahren wie WPA2, WPA3 oder Radius-Server geschützt?

Nein

Nicht bekannt

Gibt es für Gäste ein separates WLAN ohne Zugriff auf das interne Netzwerk?

Nein

Nicht bekannt

Gibt es einen geregelten Prozess zur Firewall-Konfiguration und deren regelmäßigen Überprüfung?

Nein

Nicht bekannt

Werden auf Firewall-Ebene Protokolle geführt, um unbefugte Zugriffe zwischen Netzen zu erkennen und zu analysieren?

Nein

Nicht bekannt

Erfolgen automatische Benachrichtigungen an die IT-Administration bei Verdacht auf unbefugte Verarbeitungen?

Nein

Nicht bekannt

Wird die Firewall regelmäßig durch externe Scans oder Pentests auf korrekte Konfiguration überprüft?

Nein

Nicht bekannt

Wird die Firewall nur von qualifiziertem Personal oder Dienstleistern konfiguriert?

Nein

Nicht bekannt

Werden eingehende E-Mails durch Anti-Malwareschutz geprüft?

Nein

Nicht bekannt

Werden gefährliche E-Mail-Anhänge wie .exe oder .cmd blockiert?

Nein

Nicht bekannt

Werden unsichere, unverschlüsselte Protokolle wie FTP oder Telnet vermieden?

Nein

Nicht bekannt

Werden Intrusion-Detection- oder Intrusion-Prevention-Systeme eingesetzt?

Nein

Nicht bekannt

Erfolgt die Anbindung von Niederlassungen und Homeoffice über verschlüsselte VPNs mit Client-Zertifikatsauthentifizierung?

Nein

Nicht bekannt

Diese Sektion wurde ausgefüllt von

(kann entfallen, wenn bereits oben angegeben)

Vorname

Name

11. Archivierung

Archivdaten werden zwar für die tägliche Arbeit nicht mehr benötigt, müssen aber mitunter aufgrund gesetzlicher Aufbewahrungsfristen eine bestimmte Zeit lang weiterhin aufbewahrt werden. Eine Absicherung der enthaltenen personenbezogenen Daten ist daher auch dann zu gewährleisten.

Gibt es Regelungen, welche Daten auf welcher Rechtsgrundlage und wie lange aufbewahrt werden müssen?

Nein

Nicht bekannt

Sind die Zugänge zu Archivdateien dokumentiert, umgesetzt und regelmäßig überprüft?

Nein

Nicht bekannt

Werden Archivdaten nach Ablauf der Aufbewahrungsfrist wirksam gelöscht?

Nein

Nicht bekannt

Werden Archivdaten nur auf Datenträgern gespeichert, die für langfristige Aufbewahrung geeignet sind?

Nein

Nicht bekannt

Werden Archivdaten aus Produktivsystemen in separate Archivsysteme übertragen und nicht in Produktivdatenbanken aufbewahrt?

Nein

Nicht bekannt

Werden Archivdateien verschlüsselt und die Schlüssel an mindestens zwei getrennten Orten sicher aufbewahrt?

Nein

Nicht bekannt

Werden für die Archivierung Datenformate gewählt, die eine langfristige Lesbarkeit sicherstellen?

Nein

Nicht bekannt

Diese Sektion wurde ausgefüllt von

(kann entfallen, wenn bereits oben angegeben)

Vorname

Name

12. Wartung durch Dienstleister

Die Tätigkeiten von externen IT-Dienstleistern, insbesondere bei Wartung, müssen überwacht und dokumentiert werden. Um eine ungewollte Datenweitergabe zu verhindern, müssen personenbezogene Daten auf ausgemusterter Hardware sorgfältig gelöscht werden.

Werden alle Tätigkeiten externer Dienstleister aufgezeichnet?

Nein

Nicht bekannt

Ist eine Verschwiegenheitsverpflichtung im Dienstleistungsvertrag oder durch Unterschrift der externen Mitarbeiter festgelegt?

Nein

Nicht bekannt

Ist ein interner Mitarbeiter benannt, der die Tätigkeiten externer Dienstleister überwacht und dokumentiert?

Nein

Nicht bekannt

Gibt es Regelungen zur sicheren Datenlöschung auf Hardware, die an Dienstleister oder Hersteller zurückgegeben wird?

Nein

Nicht bekannt

Werden bei Fernwartungssoftware regelmäßig Sicherheitsupdates eingespielt und bekannte Schwachstellen beachtet?

Nein

Nicht bekannt

Wird die Fernwartung externer Dienstleister protokolliert und der Zugang auf das nötige System begrenzt, möglichst unter interner Nachverfolgung?

Nein

Nicht bekannt

Diese Sektion wurde ausgefüllt von

(kann entfallen, wenn bereits oben angegeben)

Vorname

Name

13. Protokollierung

Mittels geeigneter Protokollierungen können Sicherheitsverletzungen nach Art. 33 DSGVO auch im Nachhinein erkannt und aufgearbeitet werden. Ohne Auflistung von Benutzeraktivitäten kann dagegen meist keine valide Bewertung stattfinden, ob und in welchem Umfang ein unbefugter Datenzugriff erfolgte.

Gibt es ein Protokollierungskonzept für Benutzeraktivitäten, Systemereignisse, Fehler und Internetnutzung unter Beachtung des Datenschutzes?

Nein

Nicht bekannt

Werden Log-Dateien auf einem eigenen Log-Server gespeichert?

Nein

Nicht bekannt

Werden die Systemuhren aller Geräte mit einer zentralen Zeitquelle synchronisiert, um Sicherheitsereignisse korrekt analysieren zu können?

Nein

Nicht bekannt

Wird die Zweckbindung der Log-Dateien sichergestellt und ggf. die Personalvertretung eingebunden?

Nein

Nicht bekannt

Werden Log-Dateien regelmäßig, idealerweise automatisiert, auf ungewöhnliche Einträge ausgewertet?

Nein

Nicht bekannt

Diese Sektion wurde ausgefüllt von

(kann entfallen, wenn bereits oben angegeben)

Vorname

Name

14. Business Continuity

Die Verfügbarkeit der Geschäftsprozesse und der damit verbundenen IT-Systeme und Daten ist zu gewährleisten. Im Rahmen des Backup-Konzepts ist daher ein geordnetes Zusammenspiel beim Wiedereinspielen gespeicherter Datenbestände wichtig, um im Notfall weiter betriebsfähig zu bleiben.

Gibt es einen Notfallplan zur Business Continuity mit Regelungen zur Wiederherstellung, Verantwortlichkeiten und Meldepflichten?

Nein

Nicht bekannt

Wird der Notfallplan regelmäßig durch Tests oder Übungen überprüft?

Nein

Nicht bekannt

Liegt ein schriftlich fixiertes Backup-Konzept vor?

Nein

Nicht bekannt

Werden Backups nach der 3-2-1-Regel durchgeführt (3 Datenspeicherungen, 2 verschiedene Backupmedien und 1 davon an einem externen Standort)?

Nein

Nicht bekannt

Werden Backupmedien physisch geeignet aufbewahrt, z. B. in Tresoren oder getrennten Brandabschnitten?

Nein

Nicht bekannt

Wird regelmäßig überprüft, ob mindestens ein tägliches Backup erstellt wird?

Nein

Nicht bekannt

Werden regelmäßig Tests durchgeführt, ob alle relevanten Daten im Backup enthalten sind und die Wiederherstellung funktioniert?

Nein

Nicht bekannt

Ist mindestens ein Backup-System so ausgelegt, dass es nicht durch Schadcode verschlüsselt werden kann (z. B. Air-Gap oder Pull-Verfahren)?

Nein

Nicht bekannt

Wird im Alltag weitestgehend auf Office-Makros verzichtet, um Ransomware-Risiken zu verringern?

Nein

Nicht bekannt

Werden ausschließlich signierte Makros zugelassen oder Mitarbeiter regelmäßig über die Risiken von Makros informiert?

Nein

Nicht bekannt

Wird die automatische Ausführung heruntergeladener Programme verhindert (z. B. durch Sandboxing oder Restriction Policies)?

Nein

Nicht bekannt

Enthält der Notfallplan auch Regelungen zum Umgang mit Verschlüsselungstrojanern und liegt er zusätzlich in Papierform vor?

Nein

Nicht bekannt

Wird die Backup- und Recovery-Strategie regelmäßig überprüft, um sicherzustellen, dass Backups nicht durch Ransomware verschlüsselt werden können?

Nein

Nicht bekannt

Diese Sektion wurde ausgefüllt von

(kann entfallen, wenn bereits oben angegeben)

Vorname

Name

15. Kryptographie

Mittels kryptographischen Verfahren nach Stand der Technik kann die Vertraulichkeit, Integrität und Authentizität von Daten, Systemen und Entitäten sichergestellt werden.

Gibt es definierte Regeln für den Einsatz von Kryptographie einschließlich der Schlüsselverwaltung?

Nein

Nicht bekannt

Werden Hash-Verfahren nach Stand der Technik wie SHA-256, SHA-512, SHA-3, bcrypt oder Blowfish genutzt?

Nein

Nicht bekannt

Werden Passwörter nur dann mit Standard-Hashfunktionen gespeichert, wenn sie mindestens 12-stellig sind und Salt-Werte eingesetzt werden?

Nein

Nicht bekannt

Erfolgt die Passwortspeicherung nach Stand der Technik mit Salt und Verfahren wie HMAC/SHA256, bcrypt, scrypt oder PBKDF2?

Nein

Nicht bekannt

Wird symmetrische Verschlüsselung nach Stand der Technik wie AES-256 im CBC- oder GCM-Modus eingesetzt?

Nein

Nicht bekannt

Wird asymmetrische Verschlüsselung nach Stand der Technik wie RSA ab 2048 Bit oder EC ab 256 Bit genutzt?

Nein

Nicht bekannt

Ist eine wirksame Schlüsselverwaltung für Generierung, Ausgabe und Sperrung implementiert?

Nein

Nicht bekannt

Werden geheime Schlüssel mit mindestens 16-stelligen Passwörtern geschützt und bei hohem Risiko HSMs eingesetzt?

Nein

Nicht bekannt

Werden SSL-Zertifikate ausschließlich bei vertrauenswürdigen Zertifizierungsstellen beschafft?

Nein

Nicht bekannt

Wird HTTPS nach Stand der Technik mit 2048-Bit RSA, Perfect Forward Secrecy, HSTS und ggf. Client-Zertifikaten eingesetzt?

Nein

Nicht bekannt

Werden veraltete kryptographische Verfahren wie DES, 3-DES, MD5 oder SHA-1 vermieden und für Altsysteme mit solchen Anforderungen eine Risikoanalyse durchgeführt?

Nein

Nicht bekannt

Diese Sektion wurde ausgefüllt von

(kann entfallen, wenn bereits oben angegeben)

Vorname

Name

16. Datentransfer

Sowohl der Datenaustausch mit anderen Stellen über elektronische Kommunikationsnetze als auch der
physikalische Transport von mobilen Datenträgern und Dokumenten müssen derart abgesichert werden, dass die Vertraulichkeit und Integrität der personenbezogenen Daten nicht beeinträchtigt wird.

Gibt es definierte Regeln für alle Arten von Datentransfers innerhalb der Organisation und mit externen Parteien?

Nein

Nicht bekannt

Sind für die Nutzung von Cloud-Diensten Verfahren inklusive einer Ausstiegsstrategie etabliert?

Nein

Nicht bekannt

Werden mobile Datenträger wie DVDs, USB-Sticks oder Festplatten nach Stand der Technik verschlüsselt?

Nein

Nicht bekannt

Wird bei E-Mail- und Cloud-Plattformen eine Transportverschlüsselung nach Stand der Technik eingesetzt, wenn normales Risiko besteht?

Nein

Nicht bekannt

Wird bei E-Mail- und Cloud-Plattformen eine Transport- und Inhaltsverschlüsselung nach Stand der Technik genutzt, wenn hohes Risiko besteht?

Nein

Nicht bekannt

Sind Messenger-Kommunikationen durch Transport- und Inhaltsverschlüsselung abgesichert?

Nein

Nicht bekannt

Wird die Integrität personenbezogener Daten bei hohem Risiko durch digitale Signaturen sichergestellt?

Nein

Nicht bekannt

Werden bei HTTPS Client-Zertifikate für Authentizität in geschlossenen Nutzerkreisen eingesetzt?

Nein

Nicht bekannt

Wird die verschlüsselte Nutzung von DNS-Diensten wie DNSSec oder DNS-over-TLS geprüft?

Nein

Nicht bekannt

Diese Sektion wurde ausgefüllt von

(kann entfallen, wenn bereits oben angegeben)

Vorname

Name

17. Entwicklung und Auswahl von Software

Datenschutz und Sicherheit müssen frühzeitig bei der Entwicklung von eigenen Softwaresystemen bzw. bei der Auswahl von Softwareprodukten im eigenen Betrieb berücksichtigt werden.

Sind Mitarbeiter geschult, dass Security-by-Design als Teil von Data-Protection-By-Design gesetzliche Pflicht ist und zentrale Designentscheidungen beeinflusst?

Nein

Nicht bekannt

Gibt es eine klare Trennung zwischen Produktiv- und Entwicklungs- bzw. Testsystemen?

Nein

Nicht bekannt

Ist der Zugang zum Source-Code bei der Softwareentwicklung beschränkt?

Nein

Nicht bekannt

Werden keine personenbezogenen Daten oder Zugangsdaten in der Source-Code-Verwaltung gespeichert?

Nein

Nicht bekannt

Werden System- und Sicherheitstests wie Code-Scans oder Penetrationstests regelmäßig durchgeführt?

Nein

Nicht bekannt

Werden ausreichende Testzyklen bei der Softwareentwicklung eingeplant?

Nein

Nicht bekannt

Werden Versionen von Software und Komponenten sowie deren Abhängigkeiten kontinuierlich inventarisiert?

Nein

Nicht bekannt

Wird Standardsoftware nur aus vertrauenswürdigen Quellen bezogen und aktuell gehalten?

Nein

Nicht bekannt

Gibt es einen fortlaufenden Plan zur Überwachung, Bewertung und Umsetzung von Updates und Konfigurationsänderungen über die gesamte Lebensdauer einer Softwareanwendung?

Nein

Nicht bekannt

Diese Sektion wurde ausgefüllt von

(kann entfallen, wenn bereits oben angegeben)

Vorname

Name

18. Auftragsverarbeiter

Dienstleister, die personenbezogene Daten im Rahmen einer Auftragsverarbeitung behandeln, benötigen geeignete Garantien, damit auch die Sicherheit der Verarbeitung gewährleistet werden kann.

Werden nur Dienstleister eingesetzt, die geeignete Garantien zur Datensicherheit in Dokumenten nachweisen können?

Nein

Nicht bekannt

Passen die im AV-Vertrag vereinbarten Sicherheitsmaßnahmen nach Art. 32 DSGVO zur jeweiligen Dienstleistung?

Nein

Nicht bekannt

Wird die Wirksamkeit der Garantien durch Zertifizierungen wie ISO 27001 nachgewiesen?

Nein

Nicht bekannt

Ist eine Vor-Ort-Kontrolle des Dienstleisters durch den Verantwortlichen möglich und nicht ausgeschlossen?

Nein

Nicht bekannt

Dürfen Subdienstleister nur nach Information und mit Widerspruchsrecht des Auftraggebers beauftragt werden?

Nein

Nicht bekannt

Hat der Auftragsverarbeiter Prozesse zur Erkennung von Datenschutzverletzungen und meldet diese unverzüglich dem Verantwortlichen?

Nein

Nicht bekannt

Erfolgen Transfers in unsichere Drittländer nur mit zusätzlichen technischen Schutzmaßnahmen, insbesondere kryptographischen Verfahren?

Nein

Nicht bekannt

Werden Daten nach Vertragsende der Auftragsverarbeitung wirksam gelöscht?

Nein

Nicht bekannt

Können auf Anfrage Angaben zur Löschmethodik bereitgestellt werden?

Nein

Nicht bekannt

Wird der Auftragsverarbeiter regelmäßig hinsichtlich Sicherheitspraktiken und Dienstleistungserbringung überprüft?

Nein

Nicht bekannt

Diese Sektion wurde ausgefüllt von

(kann entfallen, wenn bereits oben angegeben)

Vorname

Name

Ich bin damit einverstanden, dass diese Website meine eingereichten Informationen speichert, damit sie auf mein Anliegen bearbeitet werden kann.

Kontaktdaten

1. Management und Organisation

2. Physikalische Sicherheit der Infrastruktur

3. Awareness der Mitarbeiter

4. Authentifizierung

5. Rollen-/Rechtekonzept

6. Endgeräte (Clients)

7. Mobile Datenspeicher

8. Serversysteme

9. Websites und Webanwendungen

10. Netzwerk

11. Archivierung

12. Wartung durch Dienstleister

13. Protokollierung

14. Business Continuity

15. Kryptographie

16. Datentransfer

17. Entwicklung und Auswahl von Software

18. Auftragsverarbeiter

Noch Fragen offen?