3-2-1-Backup-Strategie umsetzen
Ausstehend
3 Kopien, 2 verschiedene Medien, 1 Kopie extern/offline.
Beispiel Tägliche Backups liegen auf NAS und zusätzlich unveränderbar in der Cloud, eine Kopie ist physisch getrennt.
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Abstimmungsprozess mit Rechtsabteilung vorbereiten
Ausstehend
Löschen
Schnelle Freigabe von Kommunikation im Krisenfall.
Beispiel Ein definierter Ablauf stellt sicher, dass Kundenkommunikation im Ernstfall innerhalb 2 Stunden rechtlich freigegeben wird.
Beispiel bearbeiten
Ein definierter Ablauf stellt sicher, dass Kundenkommunikation im Ernstfall innerhalb 2 Stunden rechtlich freigegeben wird.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Akzeptanzkriterien durch die Geschäftsleitung definieren lassen
Ausstehend
Löschen
Schwellenwerte, ab wann Risiken formal akzeptiert werden können.
Beispiel Die Geschäftsleitung legt fest, dass Risiken mit einem Schadenspotenzial unter 10.000 EUR formal akzeptiert werden können.
Beispiel bearbeiten
Die Geschäftsleitung legt fest, dass Risiken mit einem Schadenspotenzial unter 10.000 EUR formal akzeptiert werden können.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Alerting-Regeln für kritische Ereignisse definieren
Ausstehend
Löschen
Automatisierte Benachrichtigung bei Auffälligkeiten.
Beispiel Bei mehr als 5 fehlgeschlagenen Admin-Logins in 10 Minuten wird automatisch eine Warnung an das IT-Team gesendet.
Beispiel bearbeiten
Bei mehr als 5 fehlgeschlagenen Admin-Logins in 10 Minuten wird automatisch eine Warnung an das IT-Team gesendet.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Ansprechpartner für BSI-Kommunikation benennen
Ausstehend
Löschen
Klare Zuständigkeit für Registrierungs- und Meldepflege.
Beispiel Der ISB ist als offizieller Kontakt für Rückfragen des BSI benannt und hinterlegt.
Beispiel bearbeiten
Der ISB ist als offizieller Kontakt für Rückfragen des BSI benannt und hinterlegt.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Asset-Inventar für kritische Systeme aufbauen
Ausstehend
Löschen
Vollständige, aktuelle Übersicht aller relevanten IT-Systeme.
Beispiel Eine CMDB listet alle Server, Anwendungen und deren Abhängigkeiten mit Kritikalitätsstufe.
Beispiel bearbeiten
Eine CMDB listet alle Server, Anwendungen und deren Abhängigkeiten mit Kritikalitätsstufe.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Awareness zu Meldewegen schaffen
Ausstehend
Löschen
Regelmäßige Kommunikation, wie und wann zu melden ist.
Beispiel Im Intranet und bei jeder Schulung wird erklärt, wie und wo Vorfälle zu melden sind.
Beispiel bearbeiten
Im Intranet und bei jeder Schulung wird erklärt, wie und wo Vorfälle zu melden sind.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Awareness-Programm nach strukturiertem Stufenmodell aufbauen
Ausstehend
Löschen
Von Sicherheits-Hygiene über Information, Sensibilisierung und Wissen bis zu verankertem sicherem Verhalten, mit Wirksamkeitsprüfung je Schritt.
Beispiel Nach der Phishing-Schulung wird drei Monate später eine erneute Simulation durchgeführt, um die Wirksamkeit zu prüfen.
Quelle:
TeleTrusT SdT 2025-06, Kap. 3.3.14 Sensibilisierung ↗
Beispiel bearbeiten
Nach der Phishing-Schulung wird drei Monate später eine erneute Simulation durchgeführt, um die Wirksamkeit zu prüfen.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Business Continuity Management System (BCMS) nach ISO 22301 oder BSI-Standard 200-4 aufbauen
Ausstehend
Löschen
Risikobewertung, Business Impact Analyse, Strategieentwicklung sowie Implementierung und Testen der Notfallpläne als Kernkomponenten.
Beispiel Das Unternehmen orientiert sich am BSI-Standard 200-4 und durchläuft die Reifegradstufen Reaktiv-BCMS bis Standard-BCMS.
Quelle:
TeleTrusT SdT 2025-06, Kap. 3.3.17 BCM ↗
Beispiel bearbeiten
Das Unternehmen orientiert sich am BSI-Standard 200-4 und durchläuft die Reifegradstufen Reaktiv-BCMS bis Standard-BCMS.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Business Impact Analyse (BIA) als Kernkomponente des BCMS durchführen
Ausstehend
Löschen
Kritische Geschäftsprozesse identifizieren, Auswirkungen von Störungen bewerten und Wiederherstellungsprioritäten festlegen.
Beispiel Die BIA zeigt, dass ein Ausfall der Auftragsabwicklung nach 4 Stunden geschäftskritisch wird und daher höchste Priorität hat.
Quelle:
TeleTrusT SdT 2025-06, Kap. 3.3.17 BCM ↗
Beispiel bearbeiten
Die BIA zeigt, dass ein Ausfall der Auftragsabwicklung nach 4 Stunden geschäftskritisch wird und daher höchste Priorität hat.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Business Impact Analyse (BIA) durchführen
Ausstehend
Löschen
Kritikalität und Abhängigkeiten der Geschäftsprozesse bewerten.
Beispiel Für jeden Geschäftsprozess wird ermittelt, welcher finanzielle Schaden pro Ausfalltag entsteht.
Beispiel bearbeiten
Für jeden Geschäftsprozess wird ermittelt, welcher finanzielle Schaden pro Ausfalltag entsteht.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
CMDB / Asset-Inventar einführen und pflegen
Ausstehend
Löschen
Zentrale, aktuelle Übersicht über alle IT-Assets.
Beispiel Ein zentrales Tool listet jeden Laptop, Server und jede Softwarelizenz mit Verantwortlichem.
Beispiel bearbeiten
Ein zentrales Tool listet jeden Laptop, Server und jede Softwarelizenz mit Verantwortlichem.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Coordinated-Vulnerability-Disclosure-Policy erstellen
Ausstehend
Löschen
Regeln für Meldung, Bearbeitung und Rückmeldung.
Beispiel Eine veröffentlichte Richtlinie beschreibt, wie externe Melder Schwachstellen einreichen und mit Rückmeldung rechnen können.
Beispiel bearbeiten
Eine veröffentlichte Richtlinie beschreibt, wie externe Melder Schwachstellen einreichen und mit Rückmeldung rechnen können.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
D&O-Versicherung auf NIS2-Bezug prüfen
Ausstehend
Löschen
Deckungsumfang für Cyber-/Aufsichtspflichtverletzungen klären.
Beispiel Der Versicherungsmakler bestätigt schriftlich, dass Pflichtverletzungen im Rahmen der NIS2-Umsetzung mitversichert sind.
Beispiel bearbeiten
Der Versicherungsmakler bestätigt schriftlich, dass Pflichtverletzungen im Rahmen der NIS2-Umsetzung mitversichert sind.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Disaster-Recovery-Plan erstellen
Ausstehend
Löschen
Konkrete Wiederanlaufschritte je kritischem System.
Beispiel Ein Dokument beschreibt für jedes kritische System die genauen Wiederanlaufschritte nach einem Totalausfall.
Beispiel bearbeiten
Ein Dokument beschreibt für jedes kritische System die genauen Wiederanlaufschritte nach einem Totalausfall.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Dokumentationsprozess für Geschäftsleitungsbeschlüsse einführen
Ausstehend
Löschen
Nachvollziehbare Protokollierung sicherheitsrelevanter Entscheidungen.
Beispiel Jeder sicherheitsrelevante Beschluss wird mit Datum, Teilnehmern und Begründung im Protokollbuch festgehalten.
Beispiel bearbeiten
Jeder sicherheitsrelevante Beschluss wird mit Datum, Teilnehmern und Begründung im Protokollbuch festgehalten.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
EDR-Plattform mit signaturbasierter und KI-gestützter Anomalieerkennung einführen
Ausstehend
Löschen
Leichtgewichtige Agenten liefern Telemetriedaten und ermöglichen sowohl signaturbasierte als auch signaturlose Erkennung von Angriffen.
Beispiel Auf allen Servern läuft ein EDR-Agent, der verdächtige Prozessketten automatisch blockiert und meldet.
Quelle:
TeleTrusT SdT 2025-06, Kap. 3.2.22 EDR ↗
Beispiel bearbeiten
Auf allen Servern läuft ein EDR-Agent, der verdächtige Prozessketten automatisch blockiert und meldet.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
EDR/Endpoint-Schutz flächendeckend ausrollen
Ausstehend
Löschen
Erkennung und Abwehr auf Endgeräten.
Beispiel Auf allen Laptops und Servern läuft eine EDR-Lösung, die verdächtiges Verhalten automatisch meldet.
Beispiel bearbeiten
Auf allen Laptops und Servern läuft eine EDR-Lösung, die verdächtiges Verhalten automatisch meldet.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Einstufung nach BSIG-neu dokumentieren
Ausstehend
Löschen
Sektor, Größe und Kriterien systematisch prüfen und festhalten.
Beispiel Ein kurzes Memo hält fest, warum das Unternehmen als „wichtige Einrichtung“ im Sektor Energie gilt.
Beispiel bearbeiten
Ein kurzes Memo hält fest, warum das Unternehmen als „wichtige Einrichtung“ im Sektor Energie gilt.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
End-of-Life-Tracking für Hard-/Software etablieren
Ausstehend
Löschen
Rechtzeitiger Austausch nicht mehr unterstützter Systeme.
Beispiel Eine Übersicht zeigt, wann der Hersteller-Support für Windows Server oder Netzwerk-Hardware ausläuft.
Beispiel bearbeiten
Eine Übersicht zeigt, wann der Hersteller-Support für Windows Server oder Netzwerk-Hardware ausläuft.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Ende-zu-Ende-Verschlüsselung für Sprach-, Video- und Textkommunikation nutzen
Ausstehend
Löschen
Vertrauenswürdige Apps mit aktuellen Verschlüsselungsstandards, ergänzt um zentrale MDM/EMM-Konfiguration der Endgeräte.
Beispiel Vertrauliche Telefonate laufen über eine Ende-zu-Ende-verschlüsselte Unternehmens-App statt über das öffentliche Telefonnetz.
Quelle:
TeleTrusT SdT 2025-06, Kap. 3.2.13 Mobile Sprach- und Datendienste ↗
Beispiel bearbeiten
Vertrauliche Telefonate laufen über eine Ende-zu-Ende-verschlüsselte Unternehmens-App statt über das öffentliche Telefonnetz.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Eskalationsmatrix erstellen
Ausstehend
Löschen
Klare Stufen und Kontakte je Schweregrad.
Beispiel Eine Tabelle zeigt: bei Schweregrad „kritisch“ wird automatisch der ISB und die Geschäftsleitung informiert.
Beispiel bearbeiten
Eine Tabelle zeigt: bei Schweregrad „kritisch“ wird automatisch der ISB und die Geschäftsleitung informiert.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Festplatten-/Datenträgerverschlüsselung verpflichtend einführen
Ausstehend
Löschen
Insbesondere für mobile Geräte.
Beispiel Alle Laptops sind mit BitLocker bzw. FileVault vollverschlüsselt.
Beispiel bearbeiten
Alle Laptops sind mit BitLocker bzw. FileVault vollverschlüsselt.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Georedundanz für kritische IT-Infrastruktur risikobasiert einführen
Ausstehend
Löschen
Baulich, energetisch und netztechnisch unabhängige Zweitstandorte für Systeme mit hohem Verfügbarkeitsbedarf.
Beispiel Das Rechenzentrum wird georedundant an einem zweiten, mindestens 10 km entfernten Standort gespiegelt.
Quelle:
TeleTrusT SdT 2025-06, Kap. 3.3.13 Geo-Redundanzen ↗
Beispiel bearbeiten
Das Rechenzentrum wird georedundant an einem zweiten, mindestens 10 km entfernten Standort gespiegelt.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Getrennte Admin-Accounts ohne Mail-/Internetzugriff einführen
Ausstehend
Löschen
Reduziert Angriffsfläche für Phishing auf Admin-Konten.
Beispiel IT-Mitarbeitende nutzen für administrative Tätigkeiten einen separaten Account ohne E-Mail-Postfach.
Beispiel bearbeiten
IT-Mitarbeitende nutzen für administrative Tätigkeiten einen separaten Account ohne E-Mail-Postfach.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Härtungs-Baseline für Systeme definieren
Ausstehend
Löschen
z.B. CIS-Benchmarks als Grundlage.
Beispiel Alle Server werden nach einer CIS-Benchmark-Checkliste konfiguriert, bevor sie live gehen.
Beispiel bearbeiten
Alle Server werden nach einer CIS-Benchmark-Checkliste konfiguriert, bevor sie live gehen.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
ISMS nach ISO/IEC 27001 oder BSI-Standard 200-1 einführen
Ausstehend
Löschen
Etabliertes Managementsystem mit PDCA-Zyklus zur dauerhaften Planung, Lenkung und Kontrolle der Informationssicherheit.
Beispiel Das Unternehmen führt ein ISMS nach BSI-Grundschutz (Basis-Absicherung) ein und lässt es extern auditieren.
Quelle:
TeleTrusT SdT 2025-06, Kap. 3.3.3 ISMS ↗
Beispiel bearbeiten
Das Unternehmen führt ein ISMS nach BSI-Grundschutz (Basis-Absicherung) ein und lässt es extern auditieren.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
IT-Asset-Management nach BSI-Standard 200-2 oder ISO/IEC 27001 etablieren
Ausstehend
Löschen
Systematische Erfassung, Verantwortlichkeiten und Klassifizierung aller Assets zur Vermeidung von Schatten-IT.
Beispiel Ein automatisiertes Inventory-Tool meldet neue, nicht registrierte Geräte im Netzwerk als potenzielle Schatten-IT.
Quelle:
TeleTrusT SdT 2025-06, Kap. 3.3.15 Asset Management ↗
Beispiel bearbeiten
Ein automatisiertes Inventory-Tool meldet neue, nicht registrierte Geräte im Netzwerk als potenzielle Schatten-IT.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Incident-Response-Plan erstellen
Ausstehend
Löschen
Dokumentierter Ablauf von Erkennung bis Nachbereitung.
Beispiel Ein Dokument beschreibt Schritt für Schritt, wer bei einem Sicherheitsvorfall was innerhalb welcher Zeit tut.
Beispiel bearbeiten
Ein Dokument beschreibt Schritt für Schritt, wer bei einem Sicherheitsvorfall was innerhalb welcher Zeit tut.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Informationssicherheitsbeauftragte(n) (ISB) benennen
Ausstehend
Löschen
Klare Stellenbeschreibung und Weisungsbefugnis.
Beispiel Eine Person wird schriftlich als ISB benannt und erhält eine direkte Berichtslinie zur Geschäftsleitung.
Beispiel bearbeiten
Eine Person wird schriftlich als ISB benannt und erhält eine direkte Berichtslinie zur Geschäftsleitung.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Informationssicherheitsleitlinie erstellen/aktualisieren
Ausstehend
Löschen
Von der Geschäftsleitung verabschiedetes Grundsatzdokument.
Beispiel Ein zweiseitiges Grundsatzdokument beschreibt Ziele, Geltungsbereich und Verantwortlichkeiten der Informationssicherheit.
Beispiel bearbeiten
Ein zweiseitiges Grundsatzdokument beschreibt Ziele, Geltungsbereich und Verantwortlichkeiten der Informationssicherheit.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Jährliche Billigung des Sicherheitskonzepts durch die Leitung
Ausstehend
Löschen
Formaler Beschluss inkl. Protokollierung.
Beispiel Die Geschäftsleitung unterschreibt jährlich ein Protokoll, in dem die aktuelle Sicherheitsleitlinie formal freigegeben wird.
Beispiel bearbeiten
Die Geschäftsleitung unterschreibt jährlich ein Protokoll, in dem die aktuelle Sicherheitsleitlinie formal freigegeben wird.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Jährliche IR-Tabletop-Übung durchführen
Ausstehend
Löschen
Simulation eines realistischen Vorfallsszenarios.
Beispiel Einmal im Jahr wird ein simulierter Ransomware-Vorfall am Konferenztisch durchgespielt.
Beispiel bearbeiten
Einmal im Jahr wird ein simulierter Ransomware-Vorfall am Konferenztisch durchgespielt.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Jährliche Pflichtschulung für alle Mitarbeitenden einführen
Ausstehend
Löschen
Grundlagenwissen zu Cybersicherheit vermitteln.
Beispiel Alle Mitarbeitenden absolvieren einmal jährlich ein 30-minütiges Online-Training zu Cybersicherheit.
Beispiel bearbeiten
Alle Mitarbeitenden absolvieren einmal jährlich ein 30-minütiges Online-Training zu Cybersicherheit.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Jährlichen BCM-Test durchführen
Ausstehend
Löschen
Simulation eines Ausfallszenarios inkl. Wiederanlauf.
Beispiel Ein simulierter Rechenzentrumsausfall wird einmal jährlich inklusive Wiederanlauf geprobt.
Beispiel bearbeiten
Ein simulierter Rechenzentrumsausfall wird einmal jährlich inklusive Wiederanlauf geprobt.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Jährlichen Review-Zyklus für die Leitlinie etablieren
Ausstehend
Löschen
Fester Termin zur Prüfung und ggf. Anpassung.
Beispiel Jeden Januar prüft der ISB die Leitlinie und lässt Änderungen von der Geschäftsleitung freigeben.
Beispiel bearbeiten
Jeden Januar prüft der ISB die Leitlinie und lässt Änderungen von der Geschäftsleitung freigeben.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Jährlichen Review-Zyklus für die Risikoanalyse festlegen
Ausstehend
Löschen
Fester Turnus zur Aktualisierung.
Beispiel Einmal jährlich, z.B. im Q1, wird die komplette Risikoanalyse überprüft und aktualisiert.
Beispiel bearbeiten
Einmal jährlich, z.B. im Q1, wird die komplette Risikoanalyse überprüft und aktualisiert.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Jährliches internes Audit einführen
Ausstehend
Löschen
Systematische Prüfung der Sicherheitsmaßnahmen.
Beispiel Ein internes Team prüft einmal jährlich stichprobenartig, ob Sicherheitsvorgaben eingehalten werden.
Beispiel bearbeiten
Ein internes Team prüft einmal jährlich stichprobenartig, ob Sicherheitsvorgaben eingehalten werden.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
KVP-Prozess für Informationssicherheit etablieren
Ausstehend
Löschen
Strukturierte Nachverfolgung von Verbesserungsmaßnahmen.
Beispiel Offene Punkte aus Audits werden in einem festen Verbesserungsprozess mit Frist und Verantwortlichem nachverfolgt.
Beispiel bearbeiten
Offene Punkte aus Audits werden in einem festen Verbesserungsprozess mit Frist und Verantwortlichem nachverfolgt.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Key-Management-Prozess etablieren
Ausstehend
Löschen
Geregelter Umgang mit kryptografischen Schlüsseln über deren Lebenszyklus.
Beispiel Ein Prozess regelt, wer Schlüssel erzeugen darf und wie sie sicher gespeichert und rotiert werden.
Beispiel bearbeiten
Ein Prozess regelt, wer Schlüssel erzeugen darf und wie sie sicher gespeichert und rotiert werden.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Kommunikationsvorlage für betroffene Nutzer erstellen
Ausstehend
Löschen
Vorbereitete, rechtlich geprüfte Vorlage für den Ernstfall.
Beispiel Eine juristisch geprüfte Vorlage informiert Kunden im Ernstfall verständlich über einen Datenvorfall.
Beispiel bearbeiten
Eine juristisch geprüfte Vorlage informiert Kunden im Ernstfall verständlich über einen Datenvorfall.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Krisenkommunikationsplan erstellen
Ausstehend
Löschen
Interne und externe Kommunikationsvorlagen vorbereiten.
Beispiel Vorformulierte Textbausteine für Kunden, Presse und Mitarbeitende liegen für den Ernstfall bereit.
Beispiel bearbeiten
Vorformulierte Textbausteine für Kunden, Presse und Mitarbeitende liegen für den Ernstfall bereit.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Krisenstab mit Kernteam und klaren Stellvertreterregeln definieren
Ausstehend
Löschen
Kernteam aus Geschäftsleitung, Kommunikation, Recht und Protokoll, situativ erweiterbar um IT, Personal, Datenschutz.
Beispiel Für jede Krisenstabsposition ist ein Stellvertreter benannt, sodass der Stab auch im Urlaubsfall handlungsfähig bleibt.
Quelle:
TeleTrusT SdT 2025-06, Kap. 3.3.18 Notfall-/Krisenmanagement ↗
Beispiel bearbeiten
Für jede Krisenstabsposition ist ein Stellvertreter benannt, sodass der Stab auch im Urlaubsfall handlungsfähig bleibt.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Krisenstab mit Rollen definieren
Ausstehend
Löschen
Wer entscheidet im Krisenfall über was?
Beispiel Ein Krisenstab aus Geschäftsleitung, IT-Leitung und Kommunikation ist mit klaren Rollen definiert.
Beispiel bearbeiten
Ein Krisenstab aus Geschäftsleitung, IT-Leitung und Kommunikation ist mit klaren Rollen definiert.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Kritikalitätsbewertung je System durchführen
Ausstehend
Löschen
Einstufung nach Schutzbedarf (Verfügbarkeit, Vertraulichkeit, Integrität).
Beispiel Jedes System wird nach Schutzbedarf in „niedrig/mittel/hoch“ für Verfügbarkeit, Vertraulichkeit und Integrität eingestuft.
Beispiel bearbeiten
Jedes System wird nach Schutzbedarf in „niedrig/mittel/hoch“ für Verfügbarkeit, Vertraulichkeit und Integrität eingestuft.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Kryptografische Verfahren jährlich auf Wirksamkeit prüfen und Krypto-Agilität sicherstellen
Ausstehend
Löschen
Regelmäßige Überprüfung von Schlüssellängen und Verfahren gegen BSI TR-02102, Beobachtung von Post-Quanten-Kryptografie (NIST FIPS 203-205).
Beispiel Die IT-Sicherheit prüft jährlich, ob die eingesetzte Schlüssellänge noch der aktuellen BSI-TR-02102-Empfehlung entspricht.
Quelle:
TeleTrusT SdT 2025-06, Kap. 3.2.4 Kryptographische Verfahren ↗
Beispiel bearbeiten
Die IT-Sicherheit prüft jährlich, ob die eingesetzte Schlüssellänge noch der aktuellen BSI-TR-02102-Empfehlung entspricht.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Kryptokonzept erstellen
Ausstehend
Löschen
Vorgaben zu Verschlüsselung für Daten at rest und in transit.
Beispiel Ein Dokument legt fest: AES-256 für Daten at rest, TLS 1.3 für Daten in transit.
Beispiel bearbeiten
Ein Dokument legt fest: AES-256 für Daten at rest, TLS 1.3 für Daten in transit.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Lessons-Learned-Prozess etablieren
Ausstehend
Löschen
Erkenntnisse aus Übungen und echten Vorfällen systematisch einarbeiten.
Beispiel Nach jeder Übung oder jedem echten Vorfall wird ein kurzer Bericht mit Verbesserungsmaßnahmen erstellt.
Beispiel bearbeiten
Nach jeder Übung oder jedem echten Vorfall wird ein kurzer Bericht mit Verbesserungsmaßnahmen erstellt.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Lieferantenregister aufbauen
Ausstehend
Löschen
Übersicht aller relevanten Lieferanten/Dienstleister.
Beispiel Eine Liste erfasst alle IT-Dienstleister, Cloud-Anbieter und deren Zugriffsumfang.
Beispiel bearbeiten
Eine Liste erfasst alle IT-Dienstleister, Cloud-Anbieter und deren Zugriffsumfang.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
MFA für Admin- und Cloud-Konten verpflichtend einführen
Ausstehend
Löschen
Besonders kritische Konten zusätzlich absichern.
Beispiel Microsoft-365- und AWS-Admin-Konten sind ausnahmslos mit MFA abgesichert.
Beispiel bearbeiten
Microsoft-365- und AWS-Admin-Konten sind ausnahmslos mit MFA abgesichert.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
MFA für VPN/Fernzugriff verpflichtend einführen
Ausstehend
Löschen
Schutz vor kompromittierten Zugangsdaten bei Remote-Zugriff.
Beispiel Der Zugriff auf das Firmennetz von unterwegs erfordert zusätzlich zum Passwort eine Authenticator-App.
Beispiel bearbeiten
Der Zugriff auf das Firmennetz von unterwegs erfordert zusätzlich zum Passwort eine Authenticator-App.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Maßnahmen-Tracking-Tool einführen
Ausstehend
Löschen
Zentrale Übersicht über offene und erledigte Maßnahmen.
Beispiel Ein Kanban-Board zeigt alle offenen Sicherheitsmaßnahmen mit Status und Fälligkeit.
Beispiel bearbeiten
Ein Kanban-Board zeigt alle offenen Sicherheitsmaßnahmen mit Status und Fälligkeit.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Meldepflichten aller relevanten Regelwerke zentral zusammenführen
Ausstehend
Löschen
NIS2/KRITIS-Meldungen an das BSI, branchenspezifische Meldungen (z.B. BaFin, Bundesnetzagentur) und DSGVO-Meldung (72h) in einem Prozess konsolidieren.
Beispiel Eine zentrale Checkliste stellt sicher, dass bei einem Vorfall sowohl die BSI-Frist als auch ggf. die 72h-DSGVO-Frist nicht übersehen wird.
Quelle:
TeleTrusT SdT 2025-06, Kap. 3.3.18 Notfall-/Krisenmanagement (Meldepflichten) ↗
Beispiel bearbeiten
Eine zentrale Checkliste stellt sicher, dass bei einem Vorfall sowohl die BSI-Frist als auch ggf. die 72h-DSGVO-Frist nicht übersehen wird.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Meldeprozess mit Fristen-Tracking einführen
Ausstehend
Löschen
Sicherstellen, dass 24h-/72h-/1-Monats-Fristen eingehalten werden.
Beispiel Ein Ticket mit automatischer Eskalation stellt sicher, dass die 24h-Frühwarnung nicht verpasst wird.
Beispiel bearbeiten
Ein Ticket mit automatischer Eskalation stellt sicher, dass die 24h-Frühwarnung nicht verpasst wird.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Muster-SLA mit Sicherheitsanforderungen erstellen
Ausstehend
Löschen
Standardisierte Vorlage für neue Lieferantenverträge.
Beispiel Eine Standard-Vertragsvorlage enthält bereits Mindestanforderungen an Verschlüsselung und Audit-Rechte.
Beispiel bearbeiten
Eine Standard-Vertragsvorlage enthält bereits Mindestanforderungen an Verschlüsselung und Audit-Rechte.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Nachweisdokumentation zentral pflegen
Ausstehend
Löschen
Alle relevanten Nachweise und Auditberichte gesammelt vorhalten.
Beispiel Alle Auditberichte und Zertifikate liegen gesammelt in einem Ordner „NIS2-Nachweise“.
Beispiel bearbeiten
Alle Auditberichte und Zertifikate liegen gesammelt in einem Ordner „NIS2-Nachweise“.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Netzsegmentierung umsetzen
Ausstehend
Löschen
Trennung kritischer Bereiche zur Eindämmung von Vorfällen.
Beispiel Produktionsnetz, Büronetz und Gäste-WLAN sind durch Firewalls voneinander getrennt.
Beispiel bearbeiten
Produktionsnetz, Büronetz und Gäste-WLAN sind durch Firewalls voneinander getrennt.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Notfallkontaktliste offline verfügbar halten
Ausstehend
Löschen
Erreichbarkeit auch bei Totalausfall der IT sicherstellen.
Beispiel Eine ausgedruckte Kontaktliste mit allen wichtigen Rufnummern liegt im Serverraum-Safe.
Beispiel bearbeiten
Eine ausgedruckte Kontaktliste mit allen wichtigen Rufnummern liegt im Serverraum-Safe.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Notfallübung als Planübung, Krisenstabsübung oder Vollübung mind. jährlich durchführen
Ausstehend
Löschen
Ziele vorab festlegen (z.B. Kommunikationswege, Wirksamkeit des Notfallplans) und Wirksamkeit nach der Übung bewerten.
Beispiel Einmal jährlich wird ein simulierter Ransomware-Vorfall als Tabletop-Übung mit dem Krisenstab durchgespielt.
Quelle:
TeleTrusT SdT 2025-06, Kap. 3.3.19 Notfallübungen ↗
Beispiel bearbeiten
Einmal jährlich wird ein simulierter Ransomware-Vorfall als Tabletop-Übung mit dem Krisenstab durchgespielt.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Out-of-Band-Kommunikationsmittel bereitstellen
Ausstehend
Löschen
z.B. separates Messenger-System, Satellitentelefon.
Beispiel Für den Krisenfall steht ein separates Messenger-System auf privaten Geräten der Krisenstab-Mitglieder bereit.
Beispiel bearbeiten
Für den Krisenfall steht ein separates Messenger-System auf privaten Geräten der Krisenstab-Mitglieder bereit.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
PKI zur Absicherung des elektronischen Datenverkehrs aufbauen
Ausstehend
Löschen
Zertifikatsmanagement inkl. Ausstellung, Sperrlisten und Vertrauensketten für verschlüsselte und authentifizierte Kommunikation.
Beispiel Interne Dienste authentifizieren sich gegenseitig über eine unternehmenseigene PKI mit automatisierter Zertifikatsrotation.
Quelle:
TeleTrusT SdT 2025-06, Kap. 3.2.8 PKI ↗
Beispiel bearbeiten
Interne Dienste authentifizieren sich gegenseitig über eine unternehmenseigene PKI mit automatisierter Zertifikatsrotation.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Patch-Fristen nach Kritikalität definieren
Ausstehend
Löschen
z.B. kritische Patches innerhalb 72h, sonst nach Risikoeinstufung.
Beispiel Kritische Schwachstellen werden innerhalb 72 Stunden gepatcht, unkritische innerhalb 30 Tagen.
Beispiel bearbeiten
Kritische Schwachstellen werden innerhalb 72 Stunden gepatcht, unkritische innerhalb 30 Tagen.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Periodische Penetrationstests beauftragen
Ausstehend
Löschen
Externe technische Prüfung kritischer Systeme.
Beispiel Ein externer Dienstleister testet einmal jährlich die außen erreichbaren Systeme auf Schwachstellen.
Beispiel bearbeiten
Ein externer Dienstleister testet einmal jährlich die außen erreichbaren Systeme auf Schwachstellen.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Phishing-resistente MFA-Verfahren wie Passkeys bevorzugt einsetzen
Ausstehend
Löschen
FIDO2/WebAuthn-basierte Passkeys ersetzen das Passwort vollständig; zentrale MFA-Lösung mit offenen Standards (OAuth2/OIDC/SAML) statt Parallelbetrieb verschiedener Lösungen.
Beispiel Admin-Konten nutzen gerätegebundene Passkeys statt SMS-OTP, da diese nicht phishbar sind.
Quelle:
TeleTrusT SdT 2025-06, Kap. 3.2.3 Multifaktor-Authentifizierung ↗
Beispiel bearbeiten
Admin-Konten nutzen gerätegebundene Passkeys statt SMS-OTP, da diese nicht phishbar sind.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Playbooks für Standardszenarien entwickeln
Ausstehend
Löschen
z.B. Ransomware, Datenabfluss, DDoS.
Beispiel Ein separates Playbook „Ransomware-Befall“ beschreibt Isolierung, Kommunikation und Wiederanlauf.
Beispiel bearbeiten
Ein separates Playbook „Ransomware-Befall“ beschreibt Isolierung, Kommunikation und Wiederanlauf.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Privileged-Access-Management (PAM)-Lösung einführen
Ausstehend
Löschen
Kontrollierter, protokollierter Zugriff auf privilegierte Konten.
Beispiel Admin-Zugriffe erfolgen nur noch zeitlich begrenzt und protokolliert über eine PAM-Lösung.
Beispiel bearbeiten
Admin-Zugriffe erfolgen nur noch zeitlich begrenzt und protokolliert über eine PAM-Lösung.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
RACI-Matrix für Sicherheitsaufgaben erstellen
Ausstehend
Löschen
Zuständigkeiten zwischen IT, Fachbereichen und Leitung klären.
Beispiel Eine Tabelle zeigt je Sicherheitsaufgabe, wer verantwortlich, zuständig, konsultiert und informiert ist.
Beispiel bearbeiten
Eine Tabelle zeigt je Sicherheitsaufgabe, wer verantwortlich, zuständig, konsultiert und informiert ist.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
RTO/RPO je System definieren und dokumentieren
Ausstehend
Löschen
Grundlage für Priorisierung im Ernstfall.
Beispiel Für das ERP-System gilt: maximal 4 Stunden Ausfallzeit (RTO), maximal 1 Stunde Datenverlust (RPO).
Beispiel bearbeiten
Für das ERP-System gilt: maximal 4 Stunden Ausfallzeit (RTO), maximal 1 Stunde Datenverlust (RPO).
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Rechtsberatung bei Unklarheit der Einstufung einholen
Ausstehend
Löschen
Insbesondere bei Grenzfällen oder Sektorzugehörigkeit.
Beispiel Eine spezialisierte Kanzlei bestätigt schriftlich die Einstufung bei einem Grenzfall.
Beispiel bearbeiten
Eine spezialisierte Kanzlei bestätigt schriftlich die Einstufung bei einem Grenzfall.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Regelmäßige Lieferanten-Audits durchführen
Ausstehend
Löschen
Periodische Überprüfung kritischer Lieferanten.
Beispiel Kritische Lieferanten werden alle zwei Jahre durch einen Vor-Ort- oder Remote-Audit überprüft.
Beispiel bearbeiten
Kritische Lieferanten werden alle zwei Jahre durch einen Vor-Ort- oder Remote-Audit überprüft.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Regelmäßige Management-Reviews des ISMS durch die Geschäftsleitung durchführen
Ausstehend
Löschen
Bewertung von Eignung, Angemessenheit und Wirksamkeit des ISMS durch die oberste Leitung, mindestens jährlich.
Beispiel Die Geschäftsleitung lässt sich einmal jährlich Auditergebnisse und Kennzahlen vorlegen und dokumentiert ihre Entscheidungen dazu.
Quelle:
TeleTrusT SdT 2025-06, Kap. 3.3.3 ISMS ↗
Beispiel bearbeiten
Die Geschäftsleitung lässt sich einmal jährlich Auditergebnisse und Kennzahlen vorlegen und dokumentiert ihre Entscheidungen dazu.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Regelmäßige Phishing-Simulationen durchführen
Ausstehend
Löschen
Praktisches Training der Erkennung von Phishing.
Beispiel Vierteljährlich erhält die Belegschaft eine simulierte Phishing-Mail zur Sensibilisierung.
Beispiel bearbeiten
Vierteljährlich erhält die Belegschaft eine simulierte Phishing-Mail zur Sensibilisierung.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Regelmäßige Restore-Tests durchführen
Ausstehend
Löschen
Wiederherstellbarkeit der Backups aktiv verifizieren.
Beispiel Einmal im Quartal wird testweise ein Server komplett aus dem Backup wiederhergestellt.
Beispiel bearbeiten
Einmal im Quartal wird testweise ein Server komplett aus dem Backup wiederhergestellt.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Regelmäßige Rezertifizierung von Berechtigungen etablieren
Ausstehend
Löschen
Periodische Überprüfung, ob Rechte noch benötigt werden.
Beispiel Führungskräfte bestätigen halbjährlich, dass die Rechte ihrer Teammitglieder noch benötigt werden.
Beispiel bearbeiten
Führungskräfte bestätigen halbjährlich, dass die Rechte ihrer Teammitglieder noch benötigt werden.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Regelmäßige Schwachstellenscans durchführen
Ausstehend
Löschen
Automatisiertes Scanning interner und externer Systeme.
Beispiel Ein wöchentlicher automatisierter Scan prüft alle Server auf bekannte Schwachstellen.
Beispiel bearbeiten
Ein wöchentlicher automatisierter Scan prüft alle Server auf bekannte Schwachstellen.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Regelmäßiges Reporting an die Geschäftsleitung etablieren
Ausstehend
Löschen
Feste Taktung und Format der Berichterstattung.
Beispiel Ein Quartalsbericht fasst Kennzahlen, Vorfälle und Fortschritt der Maßnahmen zusammen.
Beispiel bearbeiten
Ein Quartalsbericht fasst Kennzahlen, Vorfälle und Fortschritt der Maßnahmen zusammen.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Regelmäßiges Sicherheits-Reporting an die Geschäftsleitung etablieren
Ausstehend
Löschen
Quartalsweise oder monatliche Berichterstattung über Risiken und Status.
Beispiel Ein monatliches Sicherheits-Dashboard mit Ampelstatus wird in der Geschäftsleitungssitzung besprochen.
Beispiel bearbeiten
Ein monatliches Sicherheits-Dashboard mit Ampelstatus wird in der Geschäftsleitungssitzung besprochen.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Registrierung im BSI-Meldeportal vornehmen
Ausstehend
Löschen
Fristgerechte Erstregistrierung.
Beispiel Die Organisation registriert sich fristgerecht über das BSI-Meldeportal (MIRKO/NIS2-Meldeportal).
Beispiel bearbeiten
Die Organisation registriert sich fristgerecht über das BSI-Meldeportal (MIRKO/NIS2-Meldeportal).
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Richtlinie zu zulässigen Kommunikationskanälen erstellen
Ausstehend
Löschen
Klare Vorgaben, welche Tools für welche Vertraulichkeitsstufe genutzt werden dürfen.
Beispiel Eine Richtlinie legt fest, dass Verträge nur über das freigegebene Tool, nicht per privatem WhatsApp, verschickt werden.
Beispiel bearbeiten
Eine Richtlinie legt fest, dass Verträge nur über das freigegebene Tool, nicht per privatem WhatsApp, verschickt werden.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Risikobehandlungsplan führen
Ausstehend
Löschen
Für jedes Risiko Maßnahme, Verantwortlichen und Frist festlegen.
Beispiel Zu jedem Risiko im Register steht, ob es gemindert, akzeptiert, übertragen oder vermieden wird, inkl. Frist.
Beispiel bearbeiten
Zu jedem Risiko im Register steht, ob es gemindert, akzeptiert, übertragen oder vermieden wird, inkl. Frist.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Risikoeigentümer für jedes Risiko benennen
Ausstehend
Löschen
Eine Person mit Entscheidungsbefugnis übernimmt Verantwortung für Behandlung und Akzeptanz des Restrisikos.
Beispiel Für das Risiko „Ausfall Cloud-Anbieter“ ist der IT-Leiter als Risikoeigentümer benannt und entscheidet über Gegenmaßnahmen.
Quelle:
TeleTrusT SdT 2025-06, Kap. 3.3.7 Risikomanagement ↗
Beispiel bearbeiten
Für das Risiko „Ausfall Cloud-Anbieter“ ist der IT-Leiter als Risikoeigentümer benannt und entscheidet über Gegenmaßnahmen.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Risikoklassifizierung von Lieferanten einführen
Ausstehend
Löschen
Bewertung nach Kritikalität und Zugriffsumfang.
Beispiel Lieferanten mit Zugriff auf Kundendaten werden als „hohes Risiko“ eingestuft und intensiver geprüft.
Beispiel bearbeiten
Lieferanten mit Zugriff auf Kundendaten werden als „hohes Risiko“ eingestuft und intensiver geprüft.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Risikomanagement-Prozess einführen (z.B. nach ISO 27005)
Ausstehend
Löschen
Systematische Methodik zur Identifikation und Bewertung von Risiken.
Beispiel Eine dokumentierte Methodik legt fest, wie Risiken erfasst, bewertet (Eintrittswahrscheinlichkeit x Schaden) und behandelt werden.
Beispiel bearbeiten
Eine dokumentierte Methodik legt fest, wie Risiken erfasst, bewertet (Eintrittswahrscheinlichkeit x Schaden) und behandelt werden.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Risikomanagement-Prozess nach ISO/IEC 27005 oder BSI-Standard 200-3 mit PDCA-Zyklus etablieren
Ausstehend
Löschen
Zyklischer Prozess aus Kontext herstellen, Risikoidentifikation, -analyse, -bewertung und -behandlung, unter Nutzung von Gefährdungskatalogen (z.B. BSI-Elementare-Gefährdungen).
Beispiel Der Risikomanager nutzt den BSI-G0-Katalog als Checkliste, um systematisch keine Gefährdung zu übersehen.
Quelle:
TeleTrusT SdT 2025-06, Kap. 3.3.7 Risikomanagement ↗
Beispiel bearbeiten
Der Risikomanager nutzt den BSI-G0-Katalog als Checkliste, um systematisch keine Gefährdung zu übersehen.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Risikoregister anlegen und pflegen
Ausstehend
Löschen
Zentrale Erfassung aller identifizierten Risiken inkl. Bewertung.
Beispiel Eine Excel- oder Tool-basierte Liste erfasst jedes identifizierte Risiko mit Bewertung, Maßnahme und Verantwortlichem.
Beispiel bearbeiten
Eine Excel- oder Tool-basierte Liste erfasst jedes identifizierte Risiko mit Bewertung, Maßnahme und Verantwortlichem.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Role Based Access Control (RBAC) nach Need-to-know- und Least-Privilege-Prinzip einführen
Ausstehend
Löschen
Rechtevergabe anhand definierter Rollen/Tätigkeitsprofile statt individueller Einzelfreigaben.
Beispiel Die Rolle „Buchhaltung“ erhält automatisch genau die Rechte, die für Rechnungsstellung nötig sind – nicht mehr.
Quelle:
TeleTrusT SdT 2025-06, Kap. 3.3.9 Privilegierte Benutzerkonten ↗
Beispiel bearbeiten
Die Rolle „Buchhaltung“ erhält automatisch genau die Rechte, die für Rechnungsstellung nötig sind – nicht mehr.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Rollen und Zuständigkeiten der Sicherheitsorganisation nach Referenzmodell dokumentieren
Ausstehend
Löschen
Klare Abgrenzung zwischen Geschäftsleitung, CISO, ISB, IS-Management-Team und Datenschutzbeauftragtem.
Beispiel Eine Tabelle zeigt für jede Rolle (GF, CISO, ISO, DSB) klar getrennte Zuständigkeiten und Berichtslinien.
Quelle:
TeleTrusT SdT 2025-06, Kap. 3.3.2 Sicherheitsorganisation ↗
Beispiel bearbeiten
Eine Tabelle zeigt für jede Rolle (GF, CISO, ISO, DSB) klar getrennte Zuständigkeiten und Berichtslinien.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Rollenbasiertes Berechtigungskonzept (RBAC) einführen
Geplant
an 1 Controls verwendet
Löschen
Rechtevergabe nach Funktion statt individuell.
Beispiel Rechte werden über Rollen wie „Buchhaltung“ oder „IT-Admin“ vergeben statt individuell pro Person.
Beispiel bearbeiten
Rechte werden über Rollen wie „Buchhaltung“ oder „IT-Admin“ vergeben statt individuell pro Person.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Rollenbeschreibung Geschäftsleitung erstellen
Ausstehend
Löschen
Verantwortlichkeiten der Leitung für Cybersicherheit schriftlich fixieren.
Beispiel Ein Absatz in der Geschäftsordnung legt fest, dass der CEO die Sicherheitsstrategie freigibt und der CFO das Budget verantwortet.
Beispiel bearbeiten
Ein Absatz in der Geschäftsordnung legt fest, dass der CEO die Sicherheitsstrategie freigibt und der CFO das Budget verantwortet.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Rufbereitschaft/Notfallnummer einrichten
Ausstehend
Löschen
Erreichbarkeit auch außerhalb der Geschäftszeiten sicherstellen.
Beispiel Eine Rufbereitschaft der IT ist auch nachts und am Wochenende über eine feste Nummer erreichbar.
Beispiel bearbeiten
Eine Rufbereitschaft der IT ist auch nachts und am Wochenende über eine feste Nummer erreichbar.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
SBOM-Pflicht und Verschlüsselung vertraglich bei Lieferanten verankern
Ausstehend
Löschen
Software-Lieferanten zur Bereitstellung einer Software Bill of Materials verpflichten, alle Datenflüsse müssen verschlüsselt erfolgen.
Beispiel Im Vertrag mit dem ERP-Anbieter ist die Lieferung einer aktuellen SBOM im CycloneDX-Format festgelegt.
Quelle:
TeleTrusT SdT 2025-06, Kap. 4.5 Absicherung der Lieferkette ↗
Beispiel bearbeiten
Im Vertrag mit dem ERP-Anbieter ist die Lieferung einer aktuellen SBOM im CycloneDX-Format festgelegt.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
SOC- und/oder CSIRT-Struktur mit klaren Prozessphasen aufbauen
Ausstehend
Löschen
Erfassung, Klassifizierung, Analyse, Reaktion, Wiederherstellung und Nachbereitung nach ISO/IEC 27035 oder NIST SP 800-61 strukturieren.
Beispiel Ein externer SOC-Dienstleister überwacht rund um die Uhr und eskaliert klassifizierte Vorfälle an das interne CSIRT.
Quelle:
TeleTrusT SdT 2025-06, Kap. 3.3.16 Incident Management ↗
Beispiel bearbeiten
Ein externer SOC-Dienstleister überwacht rund um die Uhr und eskaliert klassifizierte Vorfälle an das interne CSIRT.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Schulungsnachweise dokumentieren
Ausstehend
Löschen
Zertifikate/Teilnahmebestätigungen zentral ablegen.
Beispiel Teilnahmezertifikate werden zentral in einem Ordner „Schulungsnachweise GF“ abgelegt.
Beispiel bearbeiten
Teilnahmezertifikate werden zentral in einem Ordner „Schulungsnachweise GF“ abgelegt.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Schulungsnachweise systematisch dokumentieren
Ausstehend
Löschen
Nachvollziehbarkeit für Audits und Nachweispflichten.
Beispiel Eine Tabelle zeigt je Mitarbeitendem, welche Schulung wann absolviert wurde.
Beispiel bearbeiten
Eine Tabelle zeigt je Mitarbeitendem, welche Schulung wann absolviert wurde.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Schulungsprogramm für Geschäftsleitung buchen
Ausstehend
Löschen
Externe oder interne Schulung zu Cyberrisiken und NIS2-Pflichten.
Beispiel Ein halbtägiger externer Workshop zu Cyberrisiken und Haftung für alle Geschäftsführer.
Beispiel bearbeiten
Ein halbtägiger externer Workshop zu Cyberrisiken und Haftung für alle Geschäftsführer.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Secure-Coding-Guidelines einführen
Ausstehend
Löschen
Verbindliche Vorgaben für Entwickler.
Beispiel Ein Leitfaden verbietet z.B. das Hartcodieren von Passwörtern und schreibt Input-Validierung vor.
Beispiel bearbeiten
Ein Leitfaden verbietet z.B. das Hartcodieren von Passwörtern und schreibt Input-Validierung vor.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Secure-SDLC mit Bedrohungsanalyse in der Anforderungsphase etablieren
Ausstehend
Löschen
Abuse Cases definieren, Vertrauensgrenzen und Datenflüsse analysieren, Sicherheitsanforderungen nach BSIMM/OWASP SAMM/ASVS oder ISO/IEC 27034 ableiten.
Beispiel Vor jedem neuen Feature wird ein Bedrohungsmodell mit konkreten Abuse Cases erstellt und in die Anforderungen übernommen.
Quelle:
TeleTrusT SdT 2025-06, Kap. 3.3.4 Sichere Softwareentwicklung ↗
Beispiel bearbeiten
Vor jedem neuen Feature wird ein Bedrohungsmodell mit konkreten Abuse Cases erstellt und in die Anforderungen übernommen.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Security-KPI-Dashboard aufbauen
Ausstehend
Löschen
z.B. Patch-Level, offene Schwachstellen, Vorfallszahlen.
Beispiel Ein Dashboard zeigt Patch-Level, offene Schwachstellen und Anzahl Vorfälle auf einen Blick.
Beispiel bearbeiten
Ein Dashboard zeigt Patch-Level, offene Schwachstellen und Anzahl Vorfälle auf einen Blick.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Security-Kontaktadresse veröffentlichen
Ausstehend
Löschen
z.B. security@domain und/oder security.txt.
Beispiel Eine security.txt-Datei auf der Website nennt „security@firma.de“ als Meldeadresse für Schwachstellen.
Beispiel bearbeiten
Eine security.txt-Datei auf der Website nennt „security@firma.de“ als Meldeadresse für Schwachstellen.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Security-Self-Assessment-Fragebögen einholen
Ausstehend
Löschen
Regelmäßige Selbstauskunft der Lieferanten zu Sicherheitsmaßnahmen.
Beispiel Lieferanten füllen jährlich einen Fragebogen zu ihren Sicherheitsmaßnahmen aus.
Beispiel bearbeiten
Lieferanten füllen jährlich einen Fragebogen zu ihren Sicherheitsmaßnahmen aus.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Security-by-Design-Anforderungen definieren
Ausstehend
Löschen
Verbindliche Mindestanforderungen an neue Systeme.
Beispiel Neue Systeme müssen MFA und Verschlüsselung ab Werk unterstützen, sonst werden sie nicht beschafft.
Beispiel bearbeiten
Neue Systeme müssen MFA und Verschlüsselung ab Werk unterstützen, sonst werden sie nicht beschafft.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Service-Accounts (Machine-to-Machine) nach dediziertem Verfahren absichern
Ausstehend
Löschen
Keine interaktive Anmeldung zulassen, starke zufällige Passwörter, striktes Least-Privilege statt kopierter Rechte.
Beispiel Ein Service-Account für den nächtlichen Backup-Job kann sich technisch nicht interaktiv anmelden, jeder Versuch wird alarmiert.
Quelle:
TeleTrusT SdT 2025-06, Kap. 3.3.9 Privilegierte Benutzerkonten ↗
Beispiel bearbeiten
Ein Service-Account für den nächtlichen Backup-Job kann sich technisch nicht interaktiv anmelden, jeder Versuch wird alarmiert.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Sicherheits-Checkliste für Beschaffungsprozesse einführen
Ausstehend
Löschen
Standardisierte Bewertung von Sicherheitsaspekten vor Kauf/Beauftragung.
Beispiel Vor jeder Softwarebeschaffung prüft eine Checkliste u.a. Verschlüsselung, Support-Ende und Zertifizierungen.
Beispiel bearbeiten
Vor jeder Softwarebeschaffung prüft eine Checkliste u.a. Verschlüsselung, Support-Ende und Zertifizierungen.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Sicherheitsklauseln in Lieferantenverträgen verankern
Ausstehend
Löschen
Anforderungen an Sicherheit, Meldung, Audits vertraglich fixieren.
Beispiel Ein Vertragszusatz verpflichtet den Cloud-Anbieter, Sicherheitsvorfälle innerhalb 24 Stunden zu melden.
Beispiel bearbeiten
Ein Vertragszusatz verpflichtet den Cloud-Anbieter, Sicherheitsvorfälle innerhalb 24 Stunden zu melden.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Software Bill of Materials (SBOM) für eigene Produkte bereitstellen
Ausstehend
Löschen
Maschinenlesbare Stückliste aller Komponenten (z.B. im CycloneDX-Format) ermöglicht schnelles Auffinden betroffener Systeme bei neuen Schwachstellen.
Beispiel Nach Bekanntwerden einer Log4j-ähnlichen Lücke kann anhand der SBOM in Minuten geprüft werden, welche eigenen Produkte betroffen sind.
Quelle:
TeleTrusT SdT 2025-06, Kap. 3.3.12 SBOM ↗
Beispiel bearbeiten
Nach Bekanntwerden einer Log4j-ähnlichen Lücke kann anhand der SBOM in Minuten geprüft werden, welche eigenen Produkte betroffen sind.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Strukturierten On-/Offboarding-Prozess einführen
Ausstehend
Löschen
Sicherstellen, dass Zugänge zeitnah vergeben bzw. entzogen werden.
Beispiel Eine Checkliste stellt sicher, dass am letzten Arbeitstag alle Zugänge eines Mitarbeitenden gesperrt werden.
Beispiel bearbeiten
Eine Checkliste stellt sicher, dass am letzten Arbeitstag alle Zugänge eines Mitarbeitenden gesperrt werden.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Strukturierten Patchmanagement-Prozess mit Ausnahmebehandlung etablieren
Ausstehend
Löschen
Inventarisierung, Identifikation/Evaluierung über CVE-/CVSS-Quellen, getestete Bereitstellung sowie definierter Umgang mit Legacy-Systemen ohne Hersteller-Updates.
Beispiel Für ein nicht mehr unterstütztes Altsystem wird statt eines Patches eine Netzwerksegmentierung mit IDS-Überwachung umgesetzt.
Quelle:
TeleTrusT SdT 2025-06, Kap. 3.3.6 Schwachstellen- und Patchmanagement ↗
Beispiel bearbeiten
Für ein nicht mehr unterstütztes Altsystem wird statt eines Patches eine Netzwerksegmentierung mit IDS-Überwachung umgesetzt.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
TLS verpflichtend für alle Übertragungswege festlegen
Ausstehend
Löschen
Keine unverschlüsselte Übertragung sensibler Daten.
Beispiel Die Website und alle internen Webanwendungen sind ausschließlich über HTTPS erreichbar.
Beispiel bearbeiten
Die Website und alle internen Webanwendungen sind ausschließlich über HTTPS erreichbar.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Technische Sicherheitsüberprüfungen ergänzend zu Prozessaudits durchführen
Ausstehend
Löschen
Konfigurationsanalysen, Härtungsüberprüfungen und automatisierte Schwachstellenscans liefern Nachweise über die tatsächliche Wirksamkeit von Maßnahmen, nicht nur über deren Dokumentation.
Beispiel Zusätzlich zum jährlichen ISO-27001-Audit wird eine technische Konfigurationsanalyse der Firewall-Regeln durchgeführt.
Quelle:
TeleTrusT SdT 2025-06, Kap. 3.3.20 Technische Sicherheitsüberprüfung ↗
Beispiel bearbeiten
Zusätzlich zum jährlichen ISO-27001-Audit wird eine technische Konfigurationsanalyse der Firewall-Regeln durchgeführt.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Testergebnisse nachbereiten und Pläne aktualisieren
Ausstehend
Löschen
Erkenntnisse in die Pläne einarbeiten.
Beispiel Erkenntnisse aus dem BCM-Test fließen in einer Nachbesprechung in die Notfallpläne ein.
Beispiel bearbeiten
Erkenntnisse aus dem BCM-Test fließen in einer Nachbesprechung in die Notfallpläne ein.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Trigger-Liste für Ad-hoc-Risikoanalysen definieren
Ausstehend
Löschen
z.B. bei neuen Systemen, M&A, größeren Vorfällen.
Beispiel Eine Checkliste legt fest: bei neuem Cloud-Dienst, nach einem Vorfall oder bei Unternehmensübernahme wird sofort neu bewertet.
Beispiel bearbeiten
Eine Checkliste legt fest: bei neuem Cloud-Dienst, nach einem Vorfall oder bei Unternehmensübernahme wird sofort neu bewertet.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Verpflichtende Code-Reviews / SAST-Scans etablieren
Ausstehend
Löschen
Automatisierte und manuelle Prüfung auf Schwachstellen vor Release.
Beispiel Kein Code geht ohne Review durch einen zweiten Entwickler und automatischen Sicherheitsscan in Produktion.
Beispiel bearbeiten
Kein Code geht ohne Review durch einen zweiten Entwickler und automatischen Sicherheitsscan in Produktion.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Verschlüsselte Kollaborations-/Kommunikationstools einführen
Ausstehend
Löschen
Ende-zu-Ende-Verschlüsselung wo sinnvoll und möglich.
Beispiel Für vertrauliche Absprachen wird ein Ende-zu-Ende-verschlüsselter Messenger statt SMS genutzt.
Beispiel bearbeiten
Für vertrauliche Absprachen wird ein Ende-zu-Ende-verschlüsselter Messenger statt SMS genutzt.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Vertraulichkeitsvereinbarungen für sensible Rollen einführen
Ausstehend
Löschen
Vertragliche Absicherung bei Zugriff auf kritische Daten/Systeme.
Beispiel IT-Administratoren unterschreiben beim Onboarding eine zusätzliche Vertraulichkeitsvereinbarung.
Beispiel bearbeiten
IT-Administratoren unterschreiben beim Onboarding eine zusätzliche Vertraulichkeitsvereinbarung.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Vollständige Lieferantenlandschaft inkl. Risikoanalyse erfassen
Ausstehend
Löschen
Nicht nur Software-Lieferanten, sondern alle Lieferanten mit technischer oder prozessualer Schnittstelle erfassen und nach Zugriffsumfang, Datensensibilität und Incident-Historie bewerten.
Beispiel Ein Lieferantenregister enthält neben IT-Dienstleistern auch den Reinigungsdienst mit Gebäudezugang und bewertet dessen Risiko.
Quelle:
TeleTrusT SdT 2025-06, Kap. 4.5 Absicherung der Lieferkette ↗
Beispiel bearbeiten
Ein Lieferantenregister enthält neben IT-Dienstleistern auch den Reinigungsdienst mit Gebäudezugang und bewertet dessen Risiko.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Vorlagen für BSI-Meldungen vorbereiten
Ausstehend
Löschen
Beschleunigt die Meldung im Ernstfall.
Beispiel Ein vorformuliertes Formular für die 24h-Frühwarnung liegt griffbereit, nur Details müssen ergänzt werden.
Beispiel bearbeiten
Ein vorformuliertes Formular für die 24h-Frühwarnung liegt griffbereit, nur Details müssen ergänzt werden.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Web Application Firewall (WAF) vorschalten
Ausstehend
Löschen
Untersucht die Kommunikation zwischen Nutzer und Webanwendung auf Anwendungsebene und blockiert bekannte Angriffsmuster.
Beispiel Eine WAF blockiert automatisch SQL-Injection-Versuche auf den Online-Shop, bis die eigentliche Schwachstelle gepatcht ist.
Quelle:
TeleTrusT SdT 2025-06, Kap. 3.2.19 Schutz von Web-Anwendungen ↗
Beispiel bearbeiten
Eine WAF blockiert automatisch SQL-Injection-Versuche auf den Online-Shop, bis die eigentliche Schwachstelle gepatcht ist.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Wiederanlaufreihenfolge festlegen
Ausstehend
Löschen
Priorisierung basierend auf BIA-Ergebnissen.
Beispiel Nach einem Totalausfall wird zuerst das E-Mail-System, dann das ERP und zuletzt das Intranet wiederhergestellt.
Beispiel bearbeiten
Nach einem Totalausfall wird zuerst das E-Mail-System, dann das ERP und zuletzt das Intranet wiederhergestellt.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Zentralen Meldekanal einrichten
Ausstehend
Löschen
z.B. Hotline, Ticket-Kategorie oder E-Mail-Adresse.
Beispiel Eine E-Mail-Adresse „security@firma.de“ und ein Ticket-Typ „Sicherheitsvorfall“ sind für alle Mitarbeitenden bekannt.
Beispiel bearbeiten
Eine E-Mail-Adresse „security@firma.de“ und ein Ticket-Typ „Sicherheitsvorfall“ sind für alle Mitarbeitenden bekannt.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Zentrales Logging / SIEM einführen
Ausstehend
Löschen
Zusammenführung sicherheitsrelevanter Logs zur Auswertung.
Beispiel Firewall-, Server- und Endpoint-Logs laufen zentral in einem SIEM zusammen und werden ausgewertet.
Beispiel bearbeiten
Firewall-, Server- und Endpoint-Logs laufen zentral in einem SIEM zusammen und werden ausgewertet.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Zertifikats-Monitoring mit automatischer Rotation einführen
Ausstehend
Löschen
Frühzeitige Erkennung ablaufender Zertifikate.
Beispiel Ein Tool warnt automatisch 30 Tage vor Ablauf eines TLS-Zertifikats.
Beispiel bearbeiten
Ein Tool warnt automatisch 30 Tage vor Ablauf eines TLS-Zertifikats.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Zertifizierung (z.B. ISO 27001) prüfen
Ausstehend
Löschen
Kann Nachweispflichten erleichtern.
Beispiel Eine Kosten-Nutzen-Analyse prüft, ob eine ISO-27001-Zertifizierung sinnvoll ist.
Beispiel bearbeiten
Eine Kosten-Nutzen-Analyse prüft, ob eine ISO-27001-Zertifizierung sinnvoll ist.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Zielgruppenschulungen für Admins/Finance einführen
Ausstehend
Löschen
Vertiefte Schulung zu spezifischen Risiken (z.B. CEO-Fraud, privilegierte Zugriffe).
Beispiel Die Finanzabteilung erhält eine gesonderte Schulung zu CEO-Fraud und gefälschten Zahlungsanweisungen.
Beispiel bearbeiten
Die Finanzabteilung erhält eine gesonderte Schulung zu CEO-Fraud und gefälschten Zahlungsanweisungen.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.
Zugang externer Dienstleister über gesicherte Jump Hosts mit Session Recording realisieren
Ausstehend
Löschen
Temporäre, protokollierte Zugriffsfreigaben statt dauerhafter VPN-Zugänge für Wartungsdienstleister.
Beispiel Der Fernwartungszugriff eines Herstellers wird nur für das Wartungsfenster freigeschaltet und vollständig aufgezeichnet.
Quelle:
TeleTrusT SdT 2025-06, Kap. 4.5 Absicherung der Lieferkette ↗
Beispiel bearbeiten
Der Fernwartungszugriff eines Herstellers wird nur für das Wartungsfenster freigeschaltet und vollständig aufgezeichnet.
Status
Nicht anwendbar
Ausstehend
Geplant
Teilweise umgesetzt
Vollständig umgesetzt
Nachweis
Speichern
Änderungen wirken sich auf alle Controls aus, an denen diese Maßnahme hängt.