NIS-2 Assessment Tool

Neue Maßnahme anlegen

Alle Maßnahmen (124)

3-2-1-Backup-Strategie umsetzen Ausstehend

3 Kopien, 2 verschiedene Medien, 1 Kopie extern/offline.

Beispiel Tägliche Backups liegen auf NAS und zusätzlich unveränderbar in der Cloud, eine Kopie ist physisch getrennt.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Abstimmungsprozess mit Rechtsabteilung vorbereiten Ausstehend

Schnelle Freigabe von Kommunikation im Krisenfall.

Beispiel Ein definierter Ablauf stellt sicher, dass Kundenkommunikation im Ernstfall innerhalb 2 Stunden rechtlich freigegeben wird.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Akzeptanzkriterien durch die Geschäftsleitung definieren lassen Ausstehend

Schwellenwerte, ab wann Risiken formal akzeptiert werden können.

Beispiel Die Geschäftsleitung legt fest, dass Risiken mit einem Schadenspotenzial unter 10.000 EUR formal akzeptiert werden können.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Alerting-Regeln für kritische Ereignisse definieren Ausstehend

Automatisierte Benachrichtigung bei Auffälligkeiten.

Beispiel Bei mehr als 5 fehlgeschlagenen Admin-Logins in 10 Minuten wird automatisch eine Warnung an das IT-Team gesendet.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Ansprechpartner für BSI-Kommunikation benennen Ausstehend

Klare Zuständigkeit für Registrierungs- und Meldepflege.

Beispiel Der ISB ist als offizieller Kontakt für Rückfragen des BSI benannt und hinterlegt.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Asset-Inventar für kritische Systeme aufbauen Ausstehend

Vollständige, aktuelle Übersicht aller relevanten IT-Systeme.

Beispiel Eine CMDB listet alle Server, Anwendungen und deren Abhängigkeiten mit Kritikalitätsstufe.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Awareness zu Meldewegen schaffen Ausstehend

Regelmäßige Kommunikation, wie und wann zu melden ist.

Beispiel Im Intranet und bei jeder Schulung wird erklärt, wie und wo Vorfälle zu melden sind.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Awareness-Programm nach strukturiertem Stufenmodell aufbauen Ausstehend

Von Sicherheits-Hygiene über Information, Sensibilisierung und Wissen bis zu verankertem sicherem Verhalten, mit Wirksamkeitsprüfung je Schritt.

Beispiel Nach der Phishing-Schulung wird drei Monate später eine erneute Simulation durchgeführt, um die Wirksamkeit zu prüfen.

Quelle: TeleTrusT SdT 2025-06, Kap. 3.3.14 Sensibilisierung ↗

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Business Continuity Management System (BCMS) nach ISO 22301 oder BSI-Standard 200-4 aufbauen Ausstehend

Risikobewertung, Business Impact Analyse, Strategieentwicklung sowie Implementierung und Testen der Notfallpläne als Kernkomponenten.

Beispiel Das Unternehmen orientiert sich am BSI-Standard 200-4 und durchläuft die Reifegradstufen Reaktiv-BCMS bis Standard-BCMS.

Quelle: TeleTrusT SdT 2025-06, Kap. 3.3.17 BCM ↗

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Business Impact Analyse (BIA) als Kernkomponente des BCMS durchführen Ausstehend

Kritische Geschäftsprozesse identifizieren, Auswirkungen von Störungen bewerten und Wiederherstellungsprioritäten festlegen.

Beispiel Die BIA zeigt, dass ein Ausfall der Auftragsabwicklung nach 4 Stunden geschäftskritisch wird und daher höchste Priorität hat.

Quelle: TeleTrusT SdT 2025-06, Kap. 3.3.17 BCM ↗

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Business Impact Analyse (BIA) durchführen Ausstehend

Kritikalität und Abhängigkeiten der Geschäftsprozesse bewerten.

Beispiel Für jeden Geschäftsprozess wird ermittelt, welcher finanzielle Schaden pro Ausfalltag entsteht.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

CMDB / Asset-Inventar einführen und pflegen Ausstehend

Zentrale, aktuelle Übersicht über alle IT-Assets.

Beispiel Ein zentrales Tool listet jeden Laptop, Server und jede Softwarelizenz mit Verantwortlichem.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Coordinated-Vulnerability-Disclosure-Policy erstellen Ausstehend

Regeln für Meldung, Bearbeitung und Rückmeldung.

Beispiel Eine veröffentlichte Richtlinie beschreibt, wie externe Melder Schwachstellen einreichen und mit Rückmeldung rechnen können.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

D&O-Versicherung auf NIS2-Bezug prüfen Ausstehend

Deckungsumfang für Cyber-/Aufsichtspflichtverletzungen klären.

Beispiel Der Versicherungsmakler bestätigt schriftlich, dass Pflichtverletzungen im Rahmen der NIS2-Umsetzung mitversichert sind.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Disaster-Recovery-Plan erstellen Ausstehend

Konkrete Wiederanlaufschritte je kritischem System.

Beispiel Ein Dokument beschreibt für jedes kritische System die genauen Wiederanlaufschritte nach einem Totalausfall.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Dokumentationsprozess für Geschäftsleitungsbeschlüsse einführen Ausstehend

Nachvollziehbare Protokollierung sicherheitsrelevanter Entscheidungen.

Beispiel Jeder sicherheitsrelevante Beschluss wird mit Datum, Teilnehmern und Begründung im Protokollbuch festgehalten.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

EDR-Plattform mit signaturbasierter und KI-gestützter Anomalieerkennung einführen Ausstehend

Leichtgewichtige Agenten liefern Telemetriedaten und ermöglichen sowohl signaturbasierte als auch signaturlose Erkennung von Angriffen.

Beispiel Auf allen Servern läuft ein EDR-Agent, der verdächtige Prozessketten automatisch blockiert und meldet.

Quelle: TeleTrusT SdT 2025-06, Kap. 3.2.22 EDR ↗

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

EDR/Endpoint-Schutz flächendeckend ausrollen Ausstehend

Erkennung und Abwehr auf Endgeräten.

Beispiel Auf allen Laptops und Servern läuft eine EDR-Lösung, die verdächtiges Verhalten automatisch meldet.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Einstufung nach BSIG-neu dokumentieren Ausstehend

Sektor, Größe und Kriterien systematisch prüfen und festhalten.

Beispiel Ein kurzes Memo hält fest, warum das Unternehmen als „wichtige Einrichtung“ im Sektor Energie gilt.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

End-of-Life-Tracking für Hard-/Software etablieren Ausstehend

Rechtzeitiger Austausch nicht mehr unterstützter Systeme.

Beispiel Eine Übersicht zeigt, wann der Hersteller-Support für Windows Server oder Netzwerk-Hardware ausläuft.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Ende-zu-Ende-Verschlüsselung für Sprach-, Video- und Textkommunikation nutzen Ausstehend

Vertrauenswürdige Apps mit aktuellen Verschlüsselungsstandards, ergänzt um zentrale MDM/EMM-Konfiguration der Endgeräte.

Beispiel Vertrauliche Telefonate laufen über eine Ende-zu-Ende-verschlüsselte Unternehmens-App statt über das öffentliche Telefonnetz.

Quelle: TeleTrusT SdT 2025-06, Kap. 3.2.13 Mobile Sprach- und Datendienste ↗

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Eskalationsmatrix erstellen Ausstehend

Klare Stufen und Kontakte je Schweregrad.

Beispiel Eine Tabelle zeigt: bei Schweregrad „kritisch“ wird automatisch der ISB und die Geschäftsleitung informiert.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Festplatten-/Datenträgerverschlüsselung verpflichtend einführen Ausstehend

Insbesondere für mobile Geräte.

Beispiel Alle Laptops sind mit BitLocker bzw. FileVault vollverschlüsselt.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Georedundanz für kritische IT-Infrastruktur risikobasiert einführen Ausstehend

Baulich, energetisch und netztechnisch unabhängige Zweitstandorte für Systeme mit hohem Verfügbarkeitsbedarf.

Beispiel Das Rechenzentrum wird georedundant an einem zweiten, mindestens 10 km entfernten Standort gespiegelt.

Quelle: TeleTrusT SdT 2025-06, Kap. 3.3.13 Geo-Redundanzen ↗

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Getrennte Admin-Accounts ohne Mail-/Internetzugriff einführen Ausstehend

Reduziert Angriffsfläche für Phishing auf Admin-Konten.

Beispiel IT-Mitarbeitende nutzen für administrative Tätigkeiten einen separaten Account ohne E-Mail-Postfach.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Härtungs-Baseline für Systeme definieren Ausstehend

z.B. CIS-Benchmarks als Grundlage.

Beispiel Alle Server werden nach einer CIS-Benchmark-Checkliste konfiguriert, bevor sie live gehen.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

ISMS nach ISO/IEC 27001 oder BSI-Standard 200-1 einführen Ausstehend

Etabliertes Managementsystem mit PDCA-Zyklus zur dauerhaften Planung, Lenkung und Kontrolle der Informationssicherheit.

Beispiel Das Unternehmen führt ein ISMS nach BSI-Grundschutz (Basis-Absicherung) ein und lässt es extern auditieren.

Quelle: TeleTrusT SdT 2025-06, Kap. 3.3.3 ISMS ↗

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

IT-Asset-Management nach BSI-Standard 200-2 oder ISO/IEC 27001 etablieren Ausstehend

Systematische Erfassung, Verantwortlichkeiten und Klassifizierung aller Assets zur Vermeidung von Schatten-IT.

Beispiel Ein automatisiertes Inventory-Tool meldet neue, nicht registrierte Geräte im Netzwerk als potenzielle Schatten-IT.

Quelle: TeleTrusT SdT 2025-06, Kap. 3.3.15 Asset Management ↗

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Incident-Response-Plan erstellen Ausstehend

Dokumentierter Ablauf von Erkennung bis Nachbereitung.

Beispiel Ein Dokument beschreibt Schritt für Schritt, wer bei einem Sicherheitsvorfall was innerhalb welcher Zeit tut.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Informationssicherheitsbeauftragte(n) (ISB) benennen Ausstehend

Klare Stellenbeschreibung und Weisungsbefugnis.

Beispiel Eine Person wird schriftlich als ISB benannt und erhält eine direkte Berichtslinie zur Geschäftsleitung.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Informationssicherheitsleitlinie erstellen/aktualisieren Ausstehend

Von der Geschäftsleitung verabschiedetes Grundsatzdokument.

Beispiel Ein zweiseitiges Grundsatzdokument beschreibt Ziele, Geltungsbereich und Verantwortlichkeiten der Informationssicherheit.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Jährliche Billigung des Sicherheitskonzepts durch die Leitung Ausstehend

Formaler Beschluss inkl. Protokollierung.

Beispiel Die Geschäftsleitung unterschreibt jährlich ein Protokoll, in dem die aktuelle Sicherheitsleitlinie formal freigegeben wird.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Jährliche IR-Tabletop-Übung durchführen Ausstehend

Simulation eines realistischen Vorfallsszenarios.

Beispiel Einmal im Jahr wird ein simulierter Ransomware-Vorfall am Konferenztisch durchgespielt.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Jährliche Pflichtschulung für alle Mitarbeitenden einführen Ausstehend

Grundlagenwissen zu Cybersicherheit vermitteln.

Beispiel Alle Mitarbeitenden absolvieren einmal jährlich ein 30-minütiges Online-Training zu Cybersicherheit.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Jährlichen BCM-Test durchführen Ausstehend

Simulation eines Ausfallszenarios inkl. Wiederanlauf.

Beispiel Ein simulierter Rechenzentrumsausfall wird einmal jährlich inklusive Wiederanlauf geprobt.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Jährlichen Review-Zyklus für die Leitlinie etablieren Ausstehend

Fester Termin zur Prüfung und ggf. Anpassung.

Beispiel Jeden Januar prüft der ISB die Leitlinie und lässt Änderungen von der Geschäftsleitung freigeben.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Jährlichen Review-Zyklus für die Risikoanalyse festlegen Ausstehend

Fester Turnus zur Aktualisierung.

Beispiel Einmal jährlich, z.B. im Q1, wird die komplette Risikoanalyse überprüft und aktualisiert.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Jährliches internes Audit einführen Ausstehend

Systematische Prüfung der Sicherheitsmaßnahmen.

Beispiel Ein internes Team prüft einmal jährlich stichprobenartig, ob Sicherheitsvorgaben eingehalten werden.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

KVP-Prozess für Informationssicherheit etablieren Ausstehend

Strukturierte Nachverfolgung von Verbesserungsmaßnahmen.

Beispiel Offene Punkte aus Audits werden in einem festen Verbesserungsprozess mit Frist und Verantwortlichem nachverfolgt.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Key-Management-Prozess etablieren Ausstehend

Geregelter Umgang mit kryptografischen Schlüsseln über deren Lebenszyklus.

Beispiel Ein Prozess regelt, wer Schlüssel erzeugen darf und wie sie sicher gespeichert und rotiert werden.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Kommunikationsvorlage für betroffene Nutzer erstellen Ausstehend

Vorbereitete, rechtlich geprüfte Vorlage für den Ernstfall.

Beispiel Eine juristisch geprüfte Vorlage informiert Kunden im Ernstfall verständlich über einen Datenvorfall.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Krisenkommunikationsplan erstellen Ausstehend

Interne und externe Kommunikationsvorlagen vorbereiten.

Beispiel Vorformulierte Textbausteine für Kunden, Presse und Mitarbeitende liegen für den Ernstfall bereit.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Krisenstab mit Kernteam und klaren Stellvertreterregeln definieren Ausstehend

Kernteam aus Geschäftsleitung, Kommunikation, Recht und Protokoll, situativ erweiterbar um IT, Personal, Datenschutz.

Beispiel Für jede Krisenstabsposition ist ein Stellvertreter benannt, sodass der Stab auch im Urlaubsfall handlungsfähig bleibt.

Quelle: TeleTrusT SdT 2025-06, Kap. 3.3.18 Notfall-/Krisenmanagement ↗

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Krisenstab mit Rollen definieren Ausstehend

Wer entscheidet im Krisenfall über was?

Beispiel Ein Krisenstab aus Geschäftsleitung, IT-Leitung und Kommunikation ist mit klaren Rollen definiert.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Kritikalitätsbewertung je System durchführen Ausstehend

Einstufung nach Schutzbedarf (Verfügbarkeit, Vertraulichkeit, Integrität).

Beispiel Jedes System wird nach Schutzbedarf in „niedrig/mittel/hoch“ für Verfügbarkeit, Vertraulichkeit und Integrität eingestuft.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Kryptografische Verfahren jährlich auf Wirksamkeit prüfen und Krypto-Agilität sicherstellen Ausstehend

Regelmäßige Überprüfung von Schlüssellängen und Verfahren gegen BSI TR-02102, Beobachtung von Post-Quanten-Kryptografie (NIST FIPS 203-205).

Beispiel Die IT-Sicherheit prüft jährlich, ob die eingesetzte Schlüssellänge noch der aktuellen BSI-TR-02102-Empfehlung entspricht.

Quelle: TeleTrusT SdT 2025-06, Kap. 3.2.4 Kryptographische Verfahren ↗

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Kryptokonzept erstellen Ausstehend

Vorgaben zu Verschlüsselung für Daten at rest und in transit.

Beispiel Ein Dokument legt fest: AES-256 für Daten at rest, TLS 1.3 für Daten in transit.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Lessons-Learned-Prozess etablieren Ausstehend

Erkenntnisse aus Übungen und echten Vorfällen systematisch einarbeiten.

Beispiel Nach jeder Übung oder jedem echten Vorfall wird ein kurzer Bericht mit Verbesserungsmaßnahmen erstellt.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Lieferantenregister aufbauen Ausstehend

Übersicht aller relevanten Lieferanten/Dienstleister.

Beispiel Eine Liste erfasst alle IT-Dienstleister, Cloud-Anbieter und deren Zugriffsumfang.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

MFA für Admin- und Cloud-Konten verpflichtend einführen Ausstehend

Besonders kritische Konten zusätzlich absichern.

Beispiel Microsoft-365- und AWS-Admin-Konten sind ausnahmslos mit MFA abgesichert.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

MFA für VPN/Fernzugriff verpflichtend einführen Ausstehend

Schutz vor kompromittierten Zugangsdaten bei Remote-Zugriff.

Beispiel Der Zugriff auf das Firmennetz von unterwegs erfordert zusätzlich zum Passwort eine Authenticator-App.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Maßnahmen-Tracking-Tool einführen Ausstehend

Zentrale Übersicht über offene und erledigte Maßnahmen.

Beispiel Ein Kanban-Board zeigt alle offenen Sicherheitsmaßnahmen mit Status und Fälligkeit.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Meldepflichten aller relevanten Regelwerke zentral zusammenführen Ausstehend

NIS2/KRITIS-Meldungen an das BSI, branchenspezifische Meldungen (z.B. BaFin, Bundesnetzagentur) und DSGVO-Meldung (72h) in einem Prozess konsolidieren.

Beispiel Eine zentrale Checkliste stellt sicher, dass bei einem Vorfall sowohl die BSI-Frist als auch ggf. die 72h-DSGVO-Frist nicht übersehen wird.

Quelle: TeleTrusT SdT 2025-06, Kap. 3.3.18 Notfall-/Krisenmanagement (Meldepflichten) ↗

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Meldeprozess mit Fristen-Tracking einführen Ausstehend

Sicherstellen, dass 24h-/72h-/1-Monats-Fristen eingehalten werden.

Beispiel Ein Ticket mit automatischer Eskalation stellt sicher, dass die 24h-Frühwarnung nicht verpasst wird.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Muster-SLA mit Sicherheitsanforderungen erstellen Ausstehend

Standardisierte Vorlage für neue Lieferantenverträge.

Beispiel Eine Standard-Vertragsvorlage enthält bereits Mindestanforderungen an Verschlüsselung und Audit-Rechte.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Nachweisdokumentation zentral pflegen Ausstehend

Alle relevanten Nachweise und Auditberichte gesammelt vorhalten.

Beispiel Alle Auditberichte und Zertifikate liegen gesammelt in einem Ordner „NIS2-Nachweise“.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Netzsegmentierung umsetzen Ausstehend

Trennung kritischer Bereiche zur Eindämmung von Vorfällen.

Beispiel Produktionsnetz, Büronetz und Gäste-WLAN sind durch Firewalls voneinander getrennt.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Notfallkontaktliste offline verfügbar halten Ausstehend

Erreichbarkeit auch bei Totalausfall der IT sicherstellen.

Beispiel Eine ausgedruckte Kontaktliste mit allen wichtigen Rufnummern liegt im Serverraum-Safe.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Notfallübung als Planübung, Krisenstabsübung oder Vollübung mind. jährlich durchführen Ausstehend

Ziele vorab festlegen (z.B. Kommunikationswege, Wirksamkeit des Notfallplans) und Wirksamkeit nach der Übung bewerten.

Beispiel Einmal jährlich wird ein simulierter Ransomware-Vorfall als Tabletop-Übung mit dem Krisenstab durchgespielt.

Quelle: TeleTrusT SdT 2025-06, Kap. 3.3.19 Notfallübungen ↗

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Out-of-Band-Kommunikationsmittel bereitstellen Ausstehend

z.B. separates Messenger-System, Satellitentelefon.

Beispiel Für den Krisenfall steht ein separates Messenger-System auf privaten Geräten der Krisenstab-Mitglieder bereit.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

PKI zur Absicherung des elektronischen Datenverkehrs aufbauen Ausstehend

Zertifikatsmanagement inkl. Ausstellung, Sperrlisten und Vertrauensketten für verschlüsselte und authentifizierte Kommunikation.

Beispiel Interne Dienste authentifizieren sich gegenseitig über eine unternehmenseigene PKI mit automatisierter Zertifikatsrotation.

Quelle: TeleTrusT SdT 2025-06, Kap. 3.2.8 PKI ↗

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Patch-Fristen nach Kritikalität definieren Ausstehend

z.B. kritische Patches innerhalb 72h, sonst nach Risikoeinstufung.

Beispiel Kritische Schwachstellen werden innerhalb 72 Stunden gepatcht, unkritische innerhalb 30 Tagen.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Periodische Penetrationstests beauftragen Ausstehend

Externe technische Prüfung kritischer Systeme.

Beispiel Ein externer Dienstleister testet einmal jährlich die außen erreichbaren Systeme auf Schwachstellen.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Phishing-resistente MFA-Verfahren wie Passkeys bevorzugt einsetzen Ausstehend

FIDO2/WebAuthn-basierte Passkeys ersetzen das Passwort vollständig; zentrale MFA-Lösung mit offenen Standards (OAuth2/OIDC/SAML) statt Parallelbetrieb verschiedener Lösungen.

Beispiel Admin-Konten nutzen gerätegebundene Passkeys statt SMS-OTP, da diese nicht phishbar sind.

Quelle: TeleTrusT SdT 2025-06, Kap. 3.2.3 Multifaktor-Authentifizierung ↗

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Playbooks für Standardszenarien entwickeln Ausstehend

z.B. Ransomware, Datenabfluss, DDoS.

Beispiel Ein separates Playbook „Ransomware-Befall“ beschreibt Isolierung, Kommunikation und Wiederanlauf.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Privileged-Access-Management (PAM)-Lösung einführen Ausstehend

Kontrollierter, protokollierter Zugriff auf privilegierte Konten.

Beispiel Admin-Zugriffe erfolgen nur noch zeitlich begrenzt und protokolliert über eine PAM-Lösung.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

RACI-Matrix für Sicherheitsaufgaben erstellen Ausstehend

Zuständigkeiten zwischen IT, Fachbereichen und Leitung klären.

Beispiel Eine Tabelle zeigt je Sicherheitsaufgabe, wer verantwortlich, zuständig, konsultiert und informiert ist.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

RTO/RPO je System definieren und dokumentieren Ausstehend

Grundlage für Priorisierung im Ernstfall.

Beispiel Für das ERP-System gilt: maximal 4 Stunden Ausfallzeit (RTO), maximal 1 Stunde Datenverlust (RPO).

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Rechtsberatung bei Unklarheit der Einstufung einholen Ausstehend

Insbesondere bei Grenzfällen oder Sektorzugehörigkeit.

Beispiel Eine spezialisierte Kanzlei bestätigt schriftlich die Einstufung bei einem Grenzfall.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Regelmäßige Lieferanten-Audits durchführen Ausstehend

Periodische Überprüfung kritischer Lieferanten.

Beispiel Kritische Lieferanten werden alle zwei Jahre durch einen Vor-Ort- oder Remote-Audit überprüft.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Regelmäßige Management-Reviews des ISMS durch die Geschäftsleitung durchführen Ausstehend

Bewertung von Eignung, Angemessenheit und Wirksamkeit des ISMS durch die oberste Leitung, mindestens jährlich.

Beispiel Die Geschäftsleitung lässt sich einmal jährlich Auditergebnisse und Kennzahlen vorlegen und dokumentiert ihre Entscheidungen dazu.

Quelle: TeleTrusT SdT 2025-06, Kap. 3.3.3 ISMS ↗

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Regelmäßige Phishing-Simulationen durchführen Ausstehend

Praktisches Training der Erkennung von Phishing.

Beispiel Vierteljährlich erhält die Belegschaft eine simulierte Phishing-Mail zur Sensibilisierung.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Regelmäßige Restore-Tests durchführen Ausstehend

Wiederherstellbarkeit der Backups aktiv verifizieren.

Beispiel Einmal im Quartal wird testweise ein Server komplett aus dem Backup wiederhergestellt.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Regelmäßige Rezertifizierung von Berechtigungen etablieren Ausstehend

Periodische Überprüfung, ob Rechte noch benötigt werden.

Beispiel Führungskräfte bestätigen halbjährlich, dass die Rechte ihrer Teammitglieder noch benötigt werden.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Regelmäßige Schwachstellenscans durchführen Ausstehend

Automatisiertes Scanning interner und externer Systeme.

Beispiel Ein wöchentlicher automatisierter Scan prüft alle Server auf bekannte Schwachstellen.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Regelmäßiges Reporting an die Geschäftsleitung etablieren Ausstehend

Feste Taktung und Format der Berichterstattung.

Beispiel Ein Quartalsbericht fasst Kennzahlen, Vorfälle und Fortschritt der Maßnahmen zusammen.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Regelmäßiges Sicherheits-Reporting an die Geschäftsleitung etablieren Ausstehend

Quartalsweise oder monatliche Berichterstattung über Risiken und Status.

Beispiel Ein monatliches Sicherheits-Dashboard mit Ampelstatus wird in der Geschäftsleitungssitzung besprochen.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Registrierung im BSI-Meldeportal vornehmen Ausstehend

Fristgerechte Erstregistrierung.

Beispiel Die Organisation registriert sich fristgerecht über das BSI-Meldeportal (MIRKO/NIS2-Meldeportal).

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Richtlinie zu zulässigen Kommunikationskanälen erstellen Ausstehend

Klare Vorgaben, welche Tools für welche Vertraulichkeitsstufe genutzt werden dürfen.

Beispiel Eine Richtlinie legt fest, dass Verträge nur über das freigegebene Tool, nicht per privatem WhatsApp, verschickt werden.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Risikobehandlungsplan führen Ausstehend

Für jedes Risiko Maßnahme, Verantwortlichen und Frist festlegen.

Beispiel Zu jedem Risiko im Register steht, ob es gemindert, akzeptiert, übertragen oder vermieden wird, inkl. Frist.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Risikoeigentümer für jedes Risiko benennen Ausstehend

Eine Person mit Entscheidungsbefugnis übernimmt Verantwortung für Behandlung und Akzeptanz des Restrisikos.

Beispiel Für das Risiko „Ausfall Cloud-Anbieter“ ist der IT-Leiter als Risikoeigentümer benannt und entscheidet über Gegenmaßnahmen.

Quelle: TeleTrusT SdT 2025-06, Kap. 3.3.7 Risikomanagement ↗

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Risikoklassifizierung von Lieferanten einführen Ausstehend

Bewertung nach Kritikalität und Zugriffsumfang.

Beispiel Lieferanten mit Zugriff auf Kundendaten werden als „hohes Risiko“ eingestuft und intensiver geprüft.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Risikomanagement-Prozess einführen (z.B. nach ISO 27005) Ausstehend

Systematische Methodik zur Identifikation und Bewertung von Risiken.

Beispiel Eine dokumentierte Methodik legt fest, wie Risiken erfasst, bewertet (Eintrittswahrscheinlichkeit x Schaden) und behandelt werden.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Risikomanagement-Prozess nach ISO/IEC 27005 oder BSI-Standard 200-3 mit PDCA-Zyklus etablieren Ausstehend

Zyklischer Prozess aus Kontext herstellen, Risikoidentifikation, -analyse, -bewertung und -behandlung, unter Nutzung von Gefährdungskatalogen (z.B. BSI-Elementare-Gefährdungen).

Beispiel Der Risikomanager nutzt den BSI-G0-Katalog als Checkliste, um systematisch keine Gefährdung zu übersehen.

Quelle: TeleTrusT SdT 2025-06, Kap. 3.3.7 Risikomanagement ↗

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Risikoregister anlegen und pflegen Ausstehend

Zentrale Erfassung aller identifizierten Risiken inkl. Bewertung.

Beispiel Eine Excel- oder Tool-basierte Liste erfasst jedes identifizierte Risiko mit Bewertung, Maßnahme und Verantwortlichem.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Role Based Access Control (RBAC) nach Need-to-know- und Least-Privilege-Prinzip einführen Ausstehend

Rechtevergabe anhand definierter Rollen/Tätigkeitsprofile statt individueller Einzelfreigaben.

Beispiel Die Rolle „Buchhaltung“ erhält automatisch genau die Rechte, die für Rechnungsstellung nötig sind – nicht mehr.

Quelle: TeleTrusT SdT 2025-06, Kap. 3.3.9 Privilegierte Benutzerkonten ↗

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Rollen und Zuständigkeiten der Sicherheitsorganisation nach Referenzmodell dokumentieren Ausstehend

Klare Abgrenzung zwischen Geschäftsleitung, CISO, ISB, IS-Management-Team und Datenschutzbeauftragtem.

Beispiel Eine Tabelle zeigt für jede Rolle (GF, CISO, ISO, DSB) klar getrennte Zuständigkeiten und Berichtslinien.

Quelle: TeleTrusT SdT 2025-06, Kap. 3.3.2 Sicherheitsorganisation ↗

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Rollenbasiertes Berechtigungskonzept (RBAC) einführen Geplant an 1 Controls verwendet

Rechtevergabe nach Funktion statt individuell.

Beispiel Rechte werden über Rollen wie „Buchhaltung“ oder „IT-Admin“ vergeben statt individuell pro Person.

Verknüpfte Controls

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Rollenbeschreibung Geschäftsleitung erstellen Ausstehend

Verantwortlichkeiten der Leitung für Cybersicherheit schriftlich fixieren.

Beispiel Ein Absatz in der Geschäftsordnung legt fest, dass der CEO die Sicherheitsstrategie freigibt und der CFO das Budget verantwortet.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Rufbereitschaft/Notfallnummer einrichten Ausstehend

Erreichbarkeit auch außerhalb der Geschäftszeiten sicherstellen.

Beispiel Eine Rufbereitschaft der IT ist auch nachts und am Wochenende über eine feste Nummer erreichbar.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

SBOM-Pflicht und Verschlüsselung vertraglich bei Lieferanten verankern Ausstehend

Software-Lieferanten zur Bereitstellung einer Software Bill of Materials verpflichten, alle Datenflüsse müssen verschlüsselt erfolgen.

Beispiel Im Vertrag mit dem ERP-Anbieter ist die Lieferung einer aktuellen SBOM im CycloneDX-Format festgelegt.

Quelle: TeleTrusT SdT 2025-06, Kap. 4.5 Absicherung der Lieferkette ↗

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

SOC- und/oder CSIRT-Struktur mit klaren Prozessphasen aufbauen Ausstehend

Erfassung, Klassifizierung, Analyse, Reaktion, Wiederherstellung und Nachbereitung nach ISO/IEC 27035 oder NIST SP 800-61 strukturieren.

Beispiel Ein externer SOC-Dienstleister überwacht rund um die Uhr und eskaliert klassifizierte Vorfälle an das interne CSIRT.

Quelle: TeleTrusT SdT 2025-06, Kap. 3.3.16 Incident Management ↗

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Schulungsnachweise dokumentieren Ausstehend

Zertifikate/Teilnahmebestätigungen zentral ablegen.

Beispiel Teilnahmezertifikate werden zentral in einem Ordner „Schulungsnachweise GF“ abgelegt.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Schulungsnachweise systematisch dokumentieren Ausstehend

Nachvollziehbarkeit für Audits und Nachweispflichten.

Beispiel Eine Tabelle zeigt je Mitarbeitendem, welche Schulung wann absolviert wurde.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Schulungsprogramm für Geschäftsleitung buchen Ausstehend

Externe oder interne Schulung zu Cyberrisiken und NIS2-Pflichten.

Beispiel Ein halbtägiger externer Workshop zu Cyberrisiken und Haftung für alle Geschäftsführer.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Secure-Coding-Guidelines einführen Ausstehend

Verbindliche Vorgaben für Entwickler.

Beispiel Ein Leitfaden verbietet z.B. das Hartcodieren von Passwörtern und schreibt Input-Validierung vor.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Secure-SDLC mit Bedrohungsanalyse in der Anforderungsphase etablieren Ausstehend

Abuse Cases definieren, Vertrauensgrenzen und Datenflüsse analysieren, Sicherheitsanforderungen nach BSIMM/OWASP SAMM/ASVS oder ISO/IEC 27034 ableiten.

Beispiel Vor jedem neuen Feature wird ein Bedrohungsmodell mit konkreten Abuse Cases erstellt und in die Anforderungen übernommen.

Quelle: TeleTrusT SdT 2025-06, Kap. 3.3.4 Sichere Softwareentwicklung ↗

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Security-KPI-Dashboard aufbauen Ausstehend

z.B. Patch-Level, offene Schwachstellen, Vorfallszahlen.

Beispiel Ein Dashboard zeigt Patch-Level, offene Schwachstellen und Anzahl Vorfälle auf einen Blick.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Security-Kontaktadresse veröffentlichen Ausstehend

z.B. security@domain und/oder security.txt.

Beispiel Eine security.txt-Datei auf der Website nennt „security@firma.de“ als Meldeadresse für Schwachstellen.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Security-Self-Assessment-Fragebögen einholen Ausstehend

Regelmäßige Selbstauskunft der Lieferanten zu Sicherheitsmaßnahmen.

Beispiel Lieferanten füllen jährlich einen Fragebogen zu ihren Sicherheitsmaßnahmen aus.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Security-by-Design-Anforderungen definieren Ausstehend

Verbindliche Mindestanforderungen an neue Systeme.

Beispiel Neue Systeme müssen MFA und Verschlüsselung ab Werk unterstützen, sonst werden sie nicht beschafft.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Service-Accounts (Machine-to-Machine) nach dediziertem Verfahren absichern Ausstehend

Keine interaktive Anmeldung zulassen, starke zufällige Passwörter, striktes Least-Privilege statt kopierter Rechte.

Beispiel Ein Service-Account für den nächtlichen Backup-Job kann sich technisch nicht interaktiv anmelden, jeder Versuch wird alarmiert.

Quelle: TeleTrusT SdT 2025-06, Kap. 3.3.9 Privilegierte Benutzerkonten ↗

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Sicherheits-Checkliste für Beschaffungsprozesse einführen Ausstehend

Standardisierte Bewertung von Sicherheitsaspekten vor Kauf/Beauftragung.

Beispiel Vor jeder Softwarebeschaffung prüft eine Checkliste u.a. Verschlüsselung, Support-Ende und Zertifizierungen.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Sicherheitsklauseln in Lieferantenverträgen verankern Ausstehend

Anforderungen an Sicherheit, Meldung, Audits vertraglich fixieren.

Beispiel Ein Vertragszusatz verpflichtet den Cloud-Anbieter, Sicherheitsvorfälle innerhalb 24 Stunden zu melden.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Software Bill of Materials (SBOM) für eigene Produkte bereitstellen Ausstehend

Maschinenlesbare Stückliste aller Komponenten (z.B. im CycloneDX-Format) ermöglicht schnelles Auffinden betroffener Systeme bei neuen Schwachstellen.

Beispiel Nach Bekanntwerden einer Log4j-ähnlichen Lücke kann anhand der SBOM in Minuten geprüft werden, welche eigenen Produkte betroffen sind.

Quelle: TeleTrusT SdT 2025-06, Kap. 3.3.12 SBOM ↗

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Strukturierten On-/Offboarding-Prozess einführen Ausstehend

Sicherstellen, dass Zugänge zeitnah vergeben bzw. entzogen werden.

Beispiel Eine Checkliste stellt sicher, dass am letzten Arbeitstag alle Zugänge eines Mitarbeitenden gesperrt werden.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Strukturierten Patchmanagement-Prozess mit Ausnahmebehandlung etablieren Ausstehend

Inventarisierung, Identifikation/Evaluierung über CVE-/CVSS-Quellen, getestete Bereitstellung sowie definierter Umgang mit Legacy-Systemen ohne Hersteller-Updates.

Beispiel Für ein nicht mehr unterstütztes Altsystem wird statt eines Patches eine Netzwerksegmentierung mit IDS-Überwachung umgesetzt.

Quelle: TeleTrusT SdT 2025-06, Kap. 3.3.6 Schwachstellen- und Patchmanagement ↗

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

TLS verpflichtend für alle Übertragungswege festlegen Ausstehend

Keine unverschlüsselte Übertragung sensibler Daten.

Beispiel Die Website und alle internen Webanwendungen sind ausschließlich über HTTPS erreichbar.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Technische Sicherheitsüberprüfungen ergänzend zu Prozessaudits durchführen Ausstehend

Konfigurationsanalysen, Härtungsüberprüfungen und automatisierte Schwachstellenscans liefern Nachweise über die tatsächliche Wirksamkeit von Maßnahmen, nicht nur über deren Dokumentation.

Beispiel Zusätzlich zum jährlichen ISO-27001-Audit wird eine technische Konfigurationsanalyse der Firewall-Regeln durchgeführt.

Quelle: TeleTrusT SdT 2025-06, Kap. 3.3.20 Technische Sicherheitsüberprüfung ↗

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Testergebnisse nachbereiten und Pläne aktualisieren Ausstehend

Erkenntnisse in die Pläne einarbeiten.

Beispiel Erkenntnisse aus dem BCM-Test fließen in einer Nachbesprechung in die Notfallpläne ein.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Trigger-Liste für Ad-hoc-Risikoanalysen definieren Ausstehend

z.B. bei neuen Systemen, M&A, größeren Vorfällen.

Beispiel Eine Checkliste legt fest: bei neuem Cloud-Dienst, nach einem Vorfall oder bei Unternehmensübernahme wird sofort neu bewertet.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Verpflichtende Code-Reviews / SAST-Scans etablieren Ausstehend

Automatisierte und manuelle Prüfung auf Schwachstellen vor Release.

Beispiel Kein Code geht ohne Review durch einen zweiten Entwickler und automatischen Sicherheitsscan in Produktion.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Verschlüsselte Kollaborations-/Kommunikationstools einführen Ausstehend

Ende-zu-Ende-Verschlüsselung wo sinnvoll und möglich.

Beispiel Für vertrauliche Absprachen wird ein Ende-zu-Ende-verschlüsselter Messenger statt SMS genutzt.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Vertraulichkeitsvereinbarungen für sensible Rollen einführen Ausstehend

Vertragliche Absicherung bei Zugriff auf kritische Daten/Systeme.

Beispiel IT-Administratoren unterschreiben beim Onboarding eine zusätzliche Vertraulichkeitsvereinbarung.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Vollständige Lieferantenlandschaft inkl. Risikoanalyse erfassen Ausstehend

Nicht nur Software-Lieferanten, sondern alle Lieferanten mit technischer oder prozessualer Schnittstelle erfassen und nach Zugriffsumfang, Datensensibilität und Incident-Historie bewerten.

Beispiel Ein Lieferantenregister enthält neben IT-Dienstleistern auch den Reinigungsdienst mit Gebäudezugang und bewertet dessen Risiko.

Quelle: TeleTrusT SdT 2025-06, Kap. 4.5 Absicherung der Lieferkette ↗

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Vorlagen für BSI-Meldungen vorbereiten Ausstehend

Beschleunigt die Meldung im Ernstfall.

Beispiel Ein vorformuliertes Formular für die 24h-Frühwarnung liegt griffbereit, nur Details müssen ergänzt werden.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Web Application Firewall (WAF) vorschalten Ausstehend

Untersucht die Kommunikation zwischen Nutzer und Webanwendung auf Anwendungsebene und blockiert bekannte Angriffsmuster.

Beispiel Eine WAF blockiert automatisch SQL-Injection-Versuche auf den Online-Shop, bis die eigentliche Schwachstelle gepatcht ist.

Quelle: TeleTrusT SdT 2025-06, Kap. 3.2.19 Schutz von Web-Anwendungen ↗

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Wiederanlaufreihenfolge festlegen Ausstehend

Priorisierung basierend auf BIA-Ergebnissen.

Beispiel Nach einem Totalausfall wird zuerst das E-Mail-System, dann das ERP und zuletzt das Intranet wiederhergestellt.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Zentralen Meldekanal einrichten Ausstehend

z.B. Hotline, Ticket-Kategorie oder E-Mail-Adresse.

Beispiel Eine E-Mail-Adresse „security@firma.de“ und ein Ticket-Typ „Sicherheitsvorfall“ sind für alle Mitarbeitenden bekannt.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Zentrales Logging / SIEM einführen Ausstehend

Zusammenführung sicherheitsrelevanter Logs zur Auswertung.

Beispiel Firewall-, Server- und Endpoint-Logs laufen zentral in einem SIEM zusammen und werden ausgewertet.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Zertifikats-Monitoring mit automatischer Rotation einführen Ausstehend

Frühzeitige Erkennung ablaufender Zertifikate.

Beispiel Ein Tool warnt automatisch 30 Tage vor Ablauf eines TLS-Zertifikats.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Zertifizierung (z.B. ISO 27001) prüfen Ausstehend

Kann Nachweispflichten erleichtern.

Beispiel Eine Kosten-Nutzen-Analyse prüft, ob eine ISO-27001-Zertifizierung sinnvoll ist.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Zielgruppenschulungen für Admins/Finance einführen Ausstehend

Vertiefte Schulung zu spezifischen Risiken (z.B. CEO-Fraud, privilegierte Zugriffe).

Beispiel Die Finanzabteilung erhält eine gesonderte Schulung zu CEO-Fraud und gefälschten Zahlungsanweisungen.

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.

Zugang externer Dienstleister über gesicherte Jump Hosts mit Session Recording realisieren Ausstehend

Temporäre, protokollierte Zugriffsfreigaben statt dauerhafter VPN-Zugänge für Wartungsdienstleister.

Beispiel Der Fernwartungszugriff eines Herstellers wird nur für das Wartungsfenster freigeschaltet und vollständig aufgezeichnet.

Quelle: TeleTrusT SdT 2025-06, Kap. 4.5 Absicherung der Lieferkette ↗

Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.