IT-Sicherheitskonzept erstellen

[Takeshi95]

Moin,

Ich habe vor meinem Urlaub die Aufgabe von meinem Chef bekommen ein IT-Sicherheitskonzept auf die Beine zu stellen.
Damit hat sich im Betrieb auch noch nie jemand beschäftigt, sodass ich vor Ort keinen Ansprechpartner habe.

Ich habe mich also die 1-2 Tage vor meinem Urlaub im Internet schlau gemacht und auch einige Sachen gefunden.

Hauptbestandteil scheint eine Auflistung von allen Anwendungen, Systemen, Räumen und Kommunikationswegen zu sein, bei denen dann der jeweilige Schutzbedarf festgestellt werden muss.

Ich habe auch erstmal alles aufgeschrieben, was mir so zu den verschiedenen Kategorien einfällt, allerdings bin ich mir immer unsicherer, wie detailiert das Ganze denn sein muss? 😵
Muss z.B. jedes einzelne Programm, das im Unternehmen benutzt wird aufgeführt werden?
Ist auch jede kleine Test-VM relevant?

Auch bei der Definition des Informationsverbundes bin ich noch nicht ganz dahinter gestiegen, was hier genau erwartet wird 🙃

Hätte da jemand vielleicht Bespiele oder Tipps?

[Maniska]

Ich würde auf der grünen Wiese so vorgehen:

Bestandsaufnahme:

• Räumlichkeiten: Wo stehen die Systeme, separate Brandabschnitte oder Serverraum Marke "Trockenbau" mit Papptür, welche Zutrittskontrollen gibt es und wie sicher sind die, wer benötigt Zutritt weil ggf noch ein Sicherungskasten mit drinnen hängt, wo ist die Backupinfrastruktur untergebracht, wo sind die Hauseinführungen, wer hat wo Zutritt...
• Hardware: schauen was alles da ist, wie diese Dinge voneinander abhängig sind, welche Redundanzen ggf vorhanden sind: Bei Servern zweites Netzteil mit zweitem unabhängigem Stromkreis, USV, redundante Geräte im Cluster, alles was HA ist...
• Netzwerk: Wie sind die Stockwerksverteiler an die Infrastruktur angebunden
• Software:
  • Welche Software ist m Backend im Einsatz, gibt es Abhängigkeiten (ERP ist ohne den zugehörigen SQL Server mittelmäßig nutzlos), Redundanzen (mehre DCs?), Cluster
  • Welche Software ist im Frontend im Einsatz, gibt es Abhängigkeiten, ist etwas davon in der Cloud...?
• Anschlüsse
  • Haben die IT Räume einen eigenen Stromkreis oder hängen sie am Gebäudeteil (Stockwerk, Flur...) mit dran
  • Haben IT Räume zwei voneinander unabhängige Stromkreise
  • Gibt es mehre Hauseinführungen?
  • Wo laufen die Anschlüsse (Strom, Internet, Telefon...) von der Straße ins Gebäude? Was passiert wenn ein Bagger "Haps" macht
  • Wie viele Internetanschlüsse mit welcher Bandbreite sind vorhanden, was passiert mit der Telefonie wenn das Internet weg ist
  • ...

Das wertest du aus und erstellst eine Mängelliste: was ist Stand jetzt schon Murks und muss gemacht werden bevor man über ein wirkliches Sicherheitskonzept nachdenken kann. Wenn z.B. jeder zweite einen Schlüssel zum Serverraum hat weil das halt das Standardschloss der Schließanlage ist müssen wir nicht über "High Security" reden...

Dann gehst du her und bewertest die Punkte die dir aufgefallen sind: Es gibt nur einen Internetanschluss, aber alles was man zum Arbeiten braucht ist in der Cloud? Nicht gut... In dem Fall ist das Ausfallrisiko des Internetanschlusses als "hoch" und die Auswirkungen als "kritisch" einzustufen. Im Idealfall kannst du an die Risikobeseitigung noch einen Zeitraum bis zum Wiederanlauf und ein Preisschild zum Risikominimierung oder Beseitigung. "Hey Chef, es kostet uns XX€ im Monat eine redundante Internetleitung als Fallback legen zu lassen falls der Primären Anschluss gestört ist. Eine Stunde Ausfall Internet kostet uns XX*n€, soll ich das beauftragen?

• Risiko:  Ausfall Internet
• Risikobewertung: Hoch und kritisch
• Sicherheitskonzept: Backup Anschluss, ggf mit verminderter Bandbreite

So gehst du durch alles was ausfallen kann durch. WAS gemacht wird entscheidest nicht du, du zeigst nur die Risikofaktoren auf, nennst Lösungswege und lässt die GF entscheiden ob  sie das Risiko tragen will oder nicht.

vor 35 Minuten schrieb Takeshi95:

Muss z.B. jedes einzelne Programm, das im Unternehmen benutzt wird aufgeführt werden?
Ist auch jede kleine Test-VM relevant?

Was relevant ist und was nicht sollst du ja gerade herausfinden.

Wie kritisch es bei euch ist, wenn 7-zip nicht funktioniert, das Intranet nicht verfügbar ist oder TestVMbrauchtkeinMensch mit in die Sicherung muss und wenn ja mit welchen RTO und RPO kann keiner hier sagen.

 

 

[tkreutz2]

Wie Maniska sagt, bröselt sich das Thema in weiteren Details auf, aber ein Ist-Aufnahme sollte der erste Schritt sein.

Stöbern kann man hier:

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html

Natürlich muss man zunächst konzeptionell arbeiten und überlegen, welche Punkte man mit welcher Priorität in welchem Zeitraum umsetzen kann. Dabei können aber Checklisten helfen.

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/checklisten_2021.html

Hilfreich bei der Ist-Aufnahme kann auch der Einsatz von Inventarisierungssoftware sein.

Wichtig ist z.B. auch Brandschutz. Also z.B. die Frage, ob wichtige Daten (z.B. E-Mails, Verträge, Dokumente) auch in Form einer Langzeitarchivierung noch einmal weggeschrieben und auf zusätzlichen Medien in unterschiedlichen Brand- und Wasserschutzabschnitten gelagert werden. (z.B. in einem entsprechenden Schutzschrank).

Ein Notfallhandbuch ist etwas, was gerne vergessen wird.

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/ITGrundschutzstandards/BSI-Standard_1004.html

Die Konzepte hier sind natürlich für große Betriebe- oder Behörden gedacht. Aber es ging ja darum "Ideen" zu bekommen.

Natürlich fängt man in kleineren Betrieben  im kleinen Rahmen an.

Bearbeitet 27. Oktober 2021 von tkreutz2

[Takeshi95]

Danke erstmal für eure Antworten!

 

vor 17 Stunden schrieb Maniska:

Was relevant ist und was nicht sollst du ja gerade herausfinden.

Wie kritisch es bei euch ist, wenn 7-zip nicht funktioniert, das Intranet nicht verfügbar ist oder TestVMbrauchtkeinMensch mit in die Sicherung muss und wenn ja mit welchen RTO und RPO kann keiner hier sagen.

Das "Problem" ist, dass ich erst seit 3 Monaten im Unternehmen bin (und frisch ausgelernt), daher noch gar nicht jedes Detail kenne und mein Teamkollege, der seit 20 Jahren Alleinregie gemacht hat, bis zum Stichtag im Urlaub ist.
Mein Chef ist mein Abteilungsleiter, allerdings ist die "IT" hier EDV und dem Rechnungswesen untergeordnet, der hat also keine Ahnung von irgendwas und seine Aussage vom Anfang war:
"Wir brauchen einen Security Cyber Plan(mit großem ? seinerseits), bis zum 15.11, da kommen welche um das zu prüfen!"

Ich habe also den ersten Tag damit verbracht erstmal herauszufinden, was er will, obwohl er das nicht mal selber weiß.
Das IT Sicherheitskonzept scheint aber das zu sein, was er möchte.

vor 17 Stunden schrieb Maniska:

Bestandsaufnahme:

• Räumlichkeiten: [...]
• Hardware: schauen was alles da ist, wie diese Dinge voneinander abhängig sind, welche Redundanzen ggf vorhanden sind: Bei Servern zweites Netzteil mit zweitem unabhängigem Stromkreis, USV, redundante Geräte im Cluster, alles was HA ist...
• Netzwerk: Wie sind die Stockwerksverteiler an die Infrastruktur angebunden
• Software:
  • Welche Software ist m Backend im Einsatz, gibt es Abhängigkeiten (ERP ist ohne den zugehörigen SQL Server mittelmäßig nutzlos), Redundanzen (mehre DCs?), Cluster
  • Welche Software ist im Frontend im Einsatz, gibt es Abhängigkeiten, ist etwas davon in der Cloud...?
• Anschlüsse
  • [...]

Zu der Hälfte der aufgezählten Punkte kann ich einfach nichts sagen, weil ich es nicht weiß...
Ich kenne unsere Systeme bisher nur rudimentär und wichtige Infos scheinen nur im Kopf des Kollegen vorhanden, aber nirgendwo dokumentiert zu sein..

vor 26 Minuten schrieb tkreutz2:

Stöbern kann man hier:

https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/it-grundschutz_node.html

Am IT Grundschutz versuche ich mich auch entlangzuhangeln. Ich habe aus dem BSI-Standard 100-2 jetzt einige Tabellen herausgearbeitet und daran die mir bekannten Anwendungen, Systeme, Räume und Verbindungen aufgelistet. Ich habe mich auch schon an der Schutzbedarfserstellung versucht, das ist aber eher aus dem Bauchgefühl heraus entstanden, als das ich das begründen könnte.

vor 27 Minuten schrieb tkreutz2:

Hilfreich bei der Ist-Aufnahme kann auch der Einsatz von Inventarisierungssoftware sein.

Sowas besitzen wir nicht. (Hoffentlich aber bald)

[tkreutz2]

vor 24 Minuten schrieb Takeshi95:

Mein Chef ist mein Abteilungsleiter, allerdings ist die "IT" hier EDV und dem Rechnungswesen untergeordnet, der hat also keine Ahnung von irgendwas und seine Aussage vom Anfang war:
"Wir brauchen einen Security Cyber Plan(mit großem ? seinerseits), bis zum 15.11, da kommen welche um das zu prüfen!"

Meistens kommt jemand von einer Versicherung, um den Jahresbeitrag festzulegen. Das ist genau an dem Punkt, an dem "Kaufleute" beginnen Entscheidungen zu treffen und an denen IT-Leute den Kaufleuten vermitteln sollten, warum bestimmte Themen sich auch auf die Finanzen auswirken. (z.B. wenn kein ausreichender IT-Grundschutz vorhanden ist und man genau deshalb eine teurere Versicherung bezahlten muss - dass versteht nämlich dann auch der Mann vom Rechnungswesen).

Viel Erfolg !

[Maniska]

Ok mit der Grundvoraussetzung: ab zum Chef "vergiss es, das ist nicht machbar weil keine Doku vorhanden. Wenn ich bis zum 15.11 noch irgendwas anderes machen soll ist das unschaffbar. Außerdem hab ich so was noch nie gemacht, könnte also länger dauern"

Entweder man akzeptiert diese Aussage oder... Du bist 3 Monate dort? D.h. deine Bewerbungsunterlagen sind noch recht aktuell?   Und damit meine ich nicht, dass man dich feuern könnte, sondern dass du...

Kläre als erstes mit deinem Chef was er möchte.

vor 7 Minuten schrieb Takeshi95:

"Wir brauchen einen Security Cyber Plan(mit großem ? seinerseits), bis zum 15.11, da kommen welche um das zu prüfen!"

Klingt nach Wirtschaftsprüfer, Versicherung oder Audit.

Will man Unterlagen mit denen man was anfangen kann, nach denen in Zukunft gelebt werden soll etc oder soll es "nur" Futter für den Auditor werden?

Ersteres ist deutlich aufwändiger und sollte auch nach Erstellung regelmäßig (nicht erst zum nächsten Audit) geprüft, aktualisiert und ergänzt werden.

Letzteres ist relativ schnell hin geschludert, aber hilft später im Alltag kein Stück weiter und hat auch mit der Realität nicht viel zu tun. Da faselst du dir etwas zusammen wie ihr Backup macht, wie ihr Firewall und AV konfiguriert hab (Marketingblablubb, nicht zu technisch) und wie ihr eure Systeme aktuell haltet. Wenn es NUR für das Audit ist, darf da auch gerne was fehlen. Auditoren sind glücklich wenn sie was zu Meckern finden und suchen dann auch nicht mehr allzu gründlich weiter. Außer es sind IT-ler die wissen was sie tun. Dann hast du aber eh verloren.

vor 7 Minuten schrieb Takeshi95:

Zu der Hälfte der aufgezählten Punkte kann ich einfach nichts sagen, weil ich es nicht weiß...
Ich kenne unsere Systeme bisher nur rudimentär und wichtige Infos scheinen nur im Kopf des Kollegen vorhanden, aber nirgendwo dokumentiert zu sein..

Dann erklär das deinem Chef so, das ist auch der erste Punkt der Risikobewertung: Wenn der Kollege ausfällt (Krank, Unfall, Tot, Kündigung... oder wie jetzt Urlaub) gibt es NICHTS, keine Möglichkeit den IT Betrieb sauber hochzuzfahren oder schnell auf Ausfälle reagieren zu können.

Entweder dein Chef gibt dem Kollegen die Hausaufgabe die "Kopfdoku" zu Papier zu bringen oder... Wie war das mit den aktuellen Bewerbungsunterlagen?

vor 7 Minuten schrieb Takeshi95:

Am IT Grundschutz versuche ich mich auch entlangzuhangeln. Ich habe aus dem BSI-Standard 100-2 jetzt einige Tabellen herausgearbeitet und daran die mir bekannten Anwendungen, Systeme, Räume und Verbindungen aufgelistet. Ich habe mich auch schon an der Schutzbedarfserstellung versucht, das ist aber eher aus dem Bauchgefühl heraus entstanden, als das ich das begründen könnte.

Bauchgefühl ist schon mal gar nicht der ganz falsche Ansatz wenn du es nicht besser weißt. Leg dir einen Zettel hin und schreib alle "Hirnfürze" zu dem Thema auf um nichts zu vergessen. Weil, wenn du den Zutritt (also wer kann hinlatschen) analysierst kommt bestimmt auch der Gedanke mit "wer kann denn auf Daten zugreifen - Berechtigungskonzept" mal vorbei. Festhalten und auf Papier fesseln damit er nicht verloren geht.

Hausaufgabe die du deinem Chef direkt mitgeben kannst, da der Kollege der das vielleicht auch weiß gerade nicht da ist: Wo existieren welche Supportverträge, welche Servicezeiten, welche Kontaktdaten...?

Nach dem Schema

• Hardware - Hersteller/Verkäufer - Kontaktdaten/Ansprechpartner/Supporthotline - Supportzeiten - Supportvertrag (24/7, 9-5, ...Laufzeit) - Reaktionszeit
• Software/Infrastruktur - Provider/DL/Betreuer - Kontaktdaten/Ansprechpartner/Supporthotline - Supportzeiten - Supportvertrag (24/7, 9-5, ...) - Reaktionszeit

Damit ist er erst mal beschäftigt und merkt "oh, so aus dem Ärmel schütteln is nicht". Im Idealfall gibst du ihm eine Liste mit den Dingen die dir spontan einfallen und ergänzt ggf. um Vergessenes. Nicht erst versuchen die 100% zu erreichen und dann abgeben.

 

[allesweg]

vor 42 Minuten schrieb Takeshi95:

"Wir brauchen einen Security Cyber Plan(mit großem ? seinerseits), bis zum 15.11, da kommen welche um das zu prüfen!"

Okay, und das fällt ihm JETZT auf? Wenn nur der Neue da ist? Und er ein Kopfmonopol hatte.

Wie ist denn die Urlaubs-Übergabe gelaufen? Bzw. die Einarbeitung? Da müsstest du doch aus dem Vollen schöpfen können! hust

[Maniska]

Generell kann ich dir noch den Tipp geben: Egal was du jetzt anfasst, herausfindest, neu machst... Dokumentiere jeden Schei*! Wirklich jeden!

Lass dir die Doku von deinem Kollege zeigen, so er denn eine schreiben wird. Was für ihn, mit Wissen und allem schlüssig ist muss es noch lange nicht sein. Die Doku sollte im Idealfall so sein, dass jemand fachfremdes mit durchschnittlichem IT Wissen sich daran entlang hangeln kann. Sie muss mindestens so sein, dass ein IT-ler der die Umgebung nicht kennt sich damit zurechtfinden kann.

Lass dir von jemandem die Gebäudepläne geben, mindestens als pdf und zeichne dort deine neuralgischen Punkte, also Verteilerschränke, Positionierung DECT und WLAN APs, Netzwerkverkabelung im Backend, Standorte MuFu, Hauseinführungen... ein.

Jeder DL dessen Namen du hörst: Aufschreiben, und sei es nur das Wissen dass es jemanden gibt. Alle Programme die so im Raum schweben: aufschreiben, wenn das Wort DATEV fällt lauf so schnell und weit du kannst herausfinden ob sich da ein DL drum kümmert, ihr nur die Server verantwortet und bei Problemen im Programm der DL zuständig ist...

[allesweg]

vor 9 Minuten schrieb Maniska:

Lass dir von jemandem die Gebäudepläne geben

und überprüfe diese gegen die Realität.

vor 10 Minuten schrieb Maniska:

neuralgischen Punkte ...

... Strom-Verteiler- und -Sicherungskästen,

 

Alleine das Sammeln der relevanten Punkte könnte den Zeitrahmen "bis 15.11.2021" reißen. Ohne Bestandsaufnahme und Maßnahmenliste.

[Takeshi95]

vor 1 Stunde schrieb Maniska:

Klingt nach Wirtschaftsprüfer, Versicherung oder Audit.

Will man Unterlagen mit denen man was anfangen kann, nach denen in Zukunft gelebt werden soll etc oder soll es "nur" Futter für den Auditor werden?

Ich habe nochmal nachgefragt und es soll laut seiner Aussage wirklich für ein Audit sein und an der Zeit lässt sich scheinbar auch nichts machen.

vor einer Stunde schrieb allesweg:

Okay, und das fällt ihm JETZT auf? Wenn nur der Neue da ist?

Das ist scheinbar schon ein bisschen länger Thema, aber wir hatten hier zwischendurch einen Super Gau und da wurde das verständlicherweiser geschoben.

vor einer Stunde schrieb Maniska:

Generell kann ich dir noch den Tipp geben: Egal was du jetzt anfasst, herausfindest, neu machst... Dokumentiere jeden Schei*! Wirklich jeden!

Den Tipp hatte ich am Anfang schon mal aus dem Forum bekommen, ich gebe mir die größte Mühe alles so gut wie möglich aufzuschreiben.

vor einer Stunde schrieb Maniska:

Lass dir von jemandem die Gebäudepläne geben, mindestens als pdf und zeichne dort deine neuralgischen Punkte, also Verteilerschränke, Positionierung DECT und WLAN APs, Netzwerkverkabelung im Backend, Standorte MuFu, Hauseinführungen... ein.

Habe einen Kollegen angesprochen, bekomme ich heute nachmittag, was sind MuFus?

vor einer Stunde schrieb allesweg:

Alleine das Sammeln der relevanten Punkte könnte den Zeitrahmen "bis 15.11.2021" reißen. Ohne Bestandsaufnahme und Maßnahmenliste.

Habe ich Chef mehrfah mitgeteilt, er wirds merken, wenn es dann nicht steht.

[Maniska]

vor 2 Stunden schrieb Takeshi95:

Ich habe nochmal nachgefragt und es soll laut seiner Aussage wirklich für ein Audit sein und an der Zeit lässt sich scheinbar auch nichts machen.

Nee, der Auditor ist wie die Schwiegermutter, der Besuchstermin ist fix, da lässt sich nichts dran drehen. Gebäude abfackeln vielleicht, aber auch das ist nicht sicher. Und hilft nur bedingt.

Der Auditor will im ersten Schritt normalerweise(!) nur sehen, dass sich jemand generell Gedanken gemacht hat, vor allem wenn er das erste Mal kommt.

Vorschlag an deinen Chef:

• Du erstellst Futter für den Auditor das irgendwo zwischen Realität und Märchenstunde angesiedelt ist, aber so nah an der Realität dass es nicht sofort auffällt was und wie viel Märchen dabei ist
• Dein Chef verdonnert den Kollegen nach einem Urlaub eine anständige (das bewertet nicht der Kollege selbst) Doku zu erstellen. Dieser Punkt ist nicht verhandelbar!
• Es werden Projekte gestartet um die vorab-Unterlagen fürs Audit möglichst an die Realität anzupassen oder die Unterlagen werden fürs nächste Audit an die Realität angepasst.
• ALLES was der Auditor anmeckert wird geprüft und bei Bedarf behoben. Wenn es nicht behoben werden soll, wird das (die Empfehlung der IT und die Ablehnung der GF) schriftlich in die Risikobewertung und damit in das Sicherheitskonzept mit aufgenommen.

Sollte dein Chef nicht mitspielen wollen, erstellst du trotzdem die Unterlagen unten, und erinnerst dich an die aktuell noch 14 Tage Kündigungsfrist deinerseits

Du brauchst zuerst

• "Arbeitsanweisung zum Umgang mit IT", der Wisch den man bei Eintritt unterschreibt dass man keine eigenen USB Sticks stecken soll, dass das Zeug pfleglich zu behandeln ist etc. So was in der Art (Achtung, Worddokument)
• Kennwortrichtlinie, Berechtigungskonzept (da reicht fürs Audit erst mal die Theorie, können wir gerne dann in einen anderen Thread drüber Schnacken), Umgang im HO wenn vorhanden, Rechner ist zu Sperren wenn man aufsteht (ggf. auch zum Teil mit GPO erzwingen)
  • ACHTUNG!!! Das sind ORGANISATORISCHE Maßnahmen, die ggf. technisch durchgesetzt werden. Die schlägst du nur vor, wenn Chef sagt "mach mer nicht", lass dir das schriftlich geben und mach es nicht.
• Liste mit Telefonnummern relevanter DL: Elektriker, ISP, Telefonanbieter, Werkschutz, Sicherheitsbeauftragter... Alle die iwas mit IT zu tun haben könnten... DSB
• Beschreibung wie wird das Backup durchgeführt (Wir sichern mit..., alle Systeme werden täglich um xx sounso gesichert, am WE nochmal auf Band, Band kommt zur Bank...). Rücksicherung/Prüfen der Backups nicht vergessen. Orientiere dich an einer Mischung aus Bauchgefühl und BestPractice.
• Systeme werden soundso aktuell gehalten (Windows via WSUS, Linux via unatended Update, Hardware alle 3/6 Monate oder wenn kritischer Patch)
• Virenscanner XY ist soundso im Einsatz wird soundso verwaltet und meldet Funde via Mail an Admins, diese prüfen dann...
• Firewall erlaubt nur ABC, Ports werden nur via $Prozess freigeschalten
• Grobe Zeichnung wie das Netzwerk aufgebaut ist mit Internetwolke, VPN, Firewall, DMZ, Intranet (Bunt, nicht technisch)
• Grobe Zeichnung vom Backend (redundante Server, USV... Marketing in Bunt halt)

Für den Durchschnittsauditor sollte das reichen, oder er setzt noch was auf die Mängelliste.

vor 2 Stunden schrieb Takeshi95:

Das ist scheinbar schon ein bisschen länger Thema, aber wir hatten hier zwischendurch einen Super Gau und da wurde das verständlicherweiser geschoben.

Der SUper-GAU ist beschrieben, analysiert und behoben? -> Sicherheitskonzept

Wenn nein: machen solange die Erinnerung noch frisch ist.

vor 2 Stunden schrieb Takeshi95:

Den Tipp hatte ich am Anfang schon mal aus dem Forum bekommen, ich gebe mir die größte Mühe alles so gut wie möglich aufzuschreiben.

Der ist auch Gold wert. Jede Frage die du dir jetzt stellst, wird sich jeder der die Umgebung nicht kennt im Zweifel auch stellen -< ab in die Doku

vor 2 Stunden schrieb Takeshi95:

Habe einen Kollegen angesprochen, bekomme ich heute nachmittag, was sind MuFus?

Multifunktionsgeräte, also relevante Drucker, ggf. wenn vorhanden noch den Plotter.

vor 2 Stunden schrieb Takeshi95:

Habe ich Chef mehrfah mitgeteilt, er wirds merken, wenn es dann nicht steht.

Lieber die oben genannten Dokumente alle in einem Beta-Status statt nur die Hälfte in 100%.

[Takeshi95]

vor 1 Stunde schrieb Maniska:

So was in der Art (Achtung, Worddokument)

Der Link weist auf eine Seite wegen Akteneinsicht

vor 1 Stunde schrieb Maniska:

Umgang im HO wenn vorhanden

Was hat man darunter zu verstehen? Sowas wie Vorraussetzungen, damit man HO machen darf oder wie das Unternehmen das umgesetzt hat?

vor 1 Stunde schrieb Maniska:

SUper-GAU ist beschrieben, analysiert und behoben?

Super GAU war rechtlicher Natur, war aber Katastrophe für das gesamte Unternehmen

[Maniska]

vor 15 Minuten schrieb Takeshi95:

Der Link weist auf eine Seite wegen Akteneinsicht

Dann halt so https://webcache.googleusercontent.com/search?q=cache:rk6A6DnGxE0J:https://www.datenschutz-guru.de/files/IT-Richtlinie.doc+&cd=4&hl=de&ct=clnk&gl=de&client=firefox-b-d

Das ist zwar kein Word, aber der Inhalt vom Word.

 

vor 15 Minuten schrieb Takeshi95:

Was hat man darunter zu verstehen? Sowas wie Vorraussetzungen, damit man HO machen darf oder wie das Unternehmen das umgesetzt hat?

Welche Regeln gelten im HO (abgesehen von "die selben wie vor Ort), gerade in Punkto "Zettel rumliegen lassen", Ausdrucke vernichten.. Datenschutz halt.

VON WO AUS darf überhaupt gearbeitet werden, ggf. auch mit Unterschieden bzgl Abteilungen. Wenn jemand bei Starfucks dem Vertriebler über die Schulter schielt ist das ggf weniger schlimm wie bei HR und offener Lohnliste oder IT mit offenem Keypass.

Darf ich vielleicht auch HO machen wenn ich MFA machen kann, egal ob mit App (Firmenhandy oder Privatgerät erlaubt) oder Hardwaretoken?

Darf ich auch von Malle aus arbeiten?

...

[eneR]

Wahnsinn wie hier irgendwie versucht wird ein Sicherheitskonzept zusammen zu klöppeln. 
Sowas seriös zu gestalten erfordert halt ein gewisses Know-how was man als frisch ausgelernter nicht haben kann und auch nicht haben muss.

Ich schlage vor du gehst zu deinem Chef und sagst ihm einfach dass dir das nötige Rüstzeug, sprich Erfahrung und Methodik fehlt um die Aufgabe ordentlich und fachgerecht zu erledigen… alles andere ist weniger als semi-professionell.

[TooMuchCoffeeMan]

Als Jemand der in der internen Revision arbeitet und früher für Wirtschaftsprüfungsgesellschaften Audits verschiedener Art (ISO 27001, ISAE, PS etc.) durchgeführt hat: Auditoren sind nicht blöd. Es ist unser täglich Brot solche Dokumente zu prüfen und vor allem ob das nur ein Stück Papier ist oder wirklich umgesetzt / gelebt wird. Ich wünsch' dir viel Glück bei deiner sehr undankbaren Aufgabe, aber mehr als ein Feigenblatt kann da nicht bei rumkommen. Das solltest du auch dem Chef kommunizieren.

Bearbeitet 27. Oktober 2021 von TooMuchCoffeeMan

[Maniska]

Ganz kurz:

Ich weiß dass Auditoren nicht blöd sind, ich weiß aber auch, dass die wissen wie so was, gerade beim allerersten Audit (so hab ich den TE zumindest verstanden) abläuft.

Spätestens beim Folgeaudit wird da viiiiiiieeeeeeeeeeeeeeeeeeeeel genauer geschaut und auch einige Konzepte geprüft. Deswegen ja der Hinweis dass die Konzepte dann auch in die Realität umgesetzt werden müssen.

Und ja, Baustellen die man erkennt (was beim Erstellen solcher Dokumente zwangsläufig passiert) kann man nicht von jetzt auf gleich beheben. Wenn der Auditor ein komplettes, ausgereiftes Sicherheitskonzept, inkl Notfallhandbuch, Testberichten etc erwartet, dann wird der Chef das schon mitbekommen.

Mein Hinweis an den TE ging in die Richtung "erst mal das was muss, so gut es in der kurzen Zeit eben geht". Dass da nur Pfusch am Bau rumkommt sollte allen Beteiligten klar sein. Nur, wenn der Chef nicht klar kommuniziert was er erwartet, bzw selbst nicht weis was er braucht ist "etwas" das man noch verbessern kann immer noch besser als "Nichts".

Jetzt nur hin stehen und sagen "kann ich nicht, mach ich nicht" hilft dem TE noch weniger. Wenn der Chef wirklich daran interessiert ist ein Konzept zu haben das man leben kann und nicht nur nette Bilder fürs Audit, dann wird er das kommunizieren und einsehen dass das "etwas" länger dauert und nicht innerhalb von 2 Wochen machbar ist.

[TooMuchCoffeeMan]

vor 10 Minuten schrieb Maniska:

Ganz kurz:

Ich weiß dass Auditoren nicht blöd sind, ich weiß aber auch, dass die wissen wie so was, gerade beim allerersten Audit (so hab ich den TE zumindest verstanden) abläuft.

Ich weiß schon wie du es gemeint hast. Ich denke nur, dass man hier Management der Erwartungshaltung betreiben sollte. Gerade beim Chef.

Davon abgesehen wissen wir auch gar nicht um was für ein Audit es sich handelt. Da zu schreiben der Auditor würde schon nicht so genau hingucken ist etwas blauäugig. 

Als allgemeiner Tipp: Solche Konzepte sind immer schön und gut. Die Frage die der Auditor stellen wird ist: Ist das Ding den Mitarbeitern bekannt? Wird es angewendet? Mindestens die Freigabe des Geschäftsführers sollte also vorhanden sein. Es muss kommuniziert bzw. veröffentlicht werden und ein Geltungsbereich ist zu definieren.

Bearbeitet 27. Oktober 2021 von TooMuchCoffeeMan

[Maniska]

vor 1 Minute schrieb TooMuchCoffeeMan:

Ich weiß schon wie du es gemeint hast. Ich denke nur, dass man hier Management der Erwartungshaltung betreiben sollte. Gerade beim Chef.

Klar, Chef muss man klar machen "schnell schnell is nicht"

Man muss ihm auch klar machen "wenn, dann machen wir das jetzt richtig", und "auch wenn wir das Audit überleben, wir haben hier eine GEWALTIGE Baustelle". Alleine für die (schriftliche) Bestandsaufnahme würde ich beim richtigen DL - der genau weiß was er wissen muss und wo er die Infos ungefähr herbekommen kann - 2 Wochen Aufwand schätzen.

Die ganzen Einzelprojekte die sich nur daraus ergeben würden, dürften dann nochmal das gesamte nächste Jahr beschäftigen. Sowohl bei der Durchführung als auch beim Chef um das Geld zu organisieren.

vor 1 Minute schrieb TooMuchCoffeeMan:

Davon abgesehen wissen wir auch gar nicht um was für ein Audit es sich handelt. Da zu schreiben der Auditor würde schon nicht so genau hinzugucken ist etwas blauäugig. 

Ich kenne das hauptsächlich von Automotive-Audits, die waren immer sehr auf die Produktion fixiert und haben in Richtung IT eben auch "Dummydokumente" abgenickt, da ich mich geweigert hatte interne Dokumente wie zB. den detaillierten Netzplan oder die Dokumente mit IP Adressen, Serviceaccounts... im Vorfeld rauszurücken. Das Angebot "wenn er will kann er gerne an den Audit-tagen vorbei schauen und prüfen ob es die Dokumente wirklich gibt und welche Qualität diese haben hat nicht einer mal angenommen.

vor 1 Minute schrieb TooMuchCoffeeMan:

Als allgemeiner Tipp: Solche Konzepte sind immer schön und gut. Die Frage die der Auditor stellen wird ist: Ist das Ding den Mitarbeitern bekannt? Wird es angewendet? Mindestens die Freigabe des Geschäftsführers sollte also vorhanden sein. Es muss kommuniziert bzw. veröffentlicht werden und ein Geltungsbereich ist zu definieren.

Das zu "verkaufen" ist weder Aufgabe noch Gehaltsklasse des TE, der muss jetzt erst einmal schauen dass er den Misthaufen wieder vor einer anderen Tür abladen kann.

[TooMuchCoffeeMan]

vor 7 Minuten schrieb Maniska:

Ich kenne das hauptsächlich von Automotive-Audits, die waren immer sehr auf die Produktion fixiert und haben in Richtung IT eben auch "Dummydokumente" abgenickt, da ich mich geweigert hatte interne Dokumente wie zB. den detaillierten Netzplan oder die Dokumente mit IP Adressen, Serviceaccounts... im Vorfeld rauszurücken. Das Angebot "wenn er will kann er gerne an den Audit-tagen vorbei schauen und prüfen ob es die Dokumente wirklich gibt und welche Qualität diese haben hat nicht einer mal angenommen.

Das klingt nach einem Audit bei dem die IT nicht im Fokus gewesen ist. Gut möglich, dass da Themen einfach mal durchgewunken werden. Wie gesagt wissen wir nicht was da genau in welchem Rahmen und unter welchen Vorgaben geprüft wird.

vor 7 Minuten schrieb Maniska:

Das zu "verkaufen" ist weder Aufgabe noch Gehaltsklasse des TE, der muss jetzt erst einmal schauen dass er den Misthaufen wieder vor einer anderen Tür abladen kann.

Wir wissen nicht um was für ein Audit es sich handelt. Wenn er jetzt ein Konzept schreibt ist er unter Umständen am Ende auch Derjenige der im Audit dazu befragt wird. Eigentlich liegt das über seiner Ebene, aber wenn sein Chef offenbar überhaupt nicht auskunftsfähig ist und der einzige Kollege im Urlaub ist, wen soll es denn dann treffen?

Die Kommunikation des Konzeptes an die Mitarbeiter und das Einholen der Freigabe muss natürlich sein Chef oder meinetwegen dessen Chef übernehmen. Aber es sollte bedacht werden. Ein Konzept ohne Freigabe ist halt einfach nur ein nutzloses Dokument.

[Maniska]

vor 18 Minuten schrieb TooMuchCoffeeMan:

Wenn er jetzt ein Konzept schreibt ist er unter Umständen am Ende auch Derjenige der im Audit dazu befragt wird.

Er ist gar nicht in der Lage ein wirkliches Konzept von null an zu entwickeln, weder vom Wissensstand her (noch nie gesehen, Wie geht das?), noch vom Einarbeitungsstand (3 Monate da) noch von der Berufserfahrung (frisch von der BS).

An seiner Stelle würde ich mich wie gesagt darauf konzentrieren gewisse Standarddokumente, die man auch im Rahmen eines Konzeptes benötigen wird, zu erstellen, oder auf deren Erstellung hinzuarbeiten. Dass er dabei vor allem am Anfang den Fokus eher auf die "dokumentierenden Dokumenten" und weniger auf die Prozessbeschreibungen oder Arbeitsanweisungen legt liegt in der Natur der Sache.

Machen was geht, was man denkt zu können und was man selbst aus technischer Sicht erst mal als wichtig einstufen würde.

Dabei schauen wo welche Prozesse ansetzen würden, und notieren, dass man die mal bei Gelegenheit beschreiben sollte. Was anderes kann er aktuell nicht machen.

Wenn der Auditor bohren sollte hat er eh verloren, das hätte aber auch der Kollege, den fällt das spätestens bei der Frage "und wo ist das dokumentiert" auf die Füße, also genau 30 Sekunden später als dem TE.

vor 18 Minuten schrieb TooMuchCoffeeMan:

Eigentlich liegt das über seiner Ebene, aber wenn sein Chef offenbar überhaupt nicht auskunftsfähig ist und der einzige Kollege im Urlaub ist, wen soll es denn dann treffen?

"Tut mir leid, ich bin erst 3 Monate im Unternehmen" "Weiß ich nicht" "kenn ich nicht"...

Wenn man den TE dem Auditor zum Fraß vorwirft sollte er eh schnell rennen.

vor 18 Minuten schrieb TooMuchCoffeeMan:

Die Kommunikation des Konzeptes an die Mitarbeiter und das Einholen der Freigabe muss natürlich sein Chef oder meinetwegen dessen Chef übernehmen.

Freigabe durch GF, QMB oder anderweitig berechtigter nehmen ich an?

vor 18 Minuten schrieb TooMuchCoffeeMan:

Aber es sollte bedacht werden. Ein Konzept ohne Freigabe ist halt einfach nur ein nutzloses Dokument.

Ist es auch mit Freigabe wenn es nicht gelebt wird, aber ja, solange es kein "offizielles" Dokument ist, ist es halt buntes Papier. Als TE würde ich es zwar bedenken, aber (noch) nicht kommunizieren, sonst prangt da schneller sein Name drauf als ihm lieb ist. Und, er muss ja nun auch nicht an alles denken.

[eneR]

vor einer Stunde schrieb Maniska:

Er ist gar nicht in der Lage ein wirkliches Konzept von null an zu entwickeln, weder vom Wissensstand her (noch nie gesehen, Wie geht das?), noch vom Einarbeitungsstand (3 Monate da) noch von der Berufserfahrung (frisch von der BS).

Nunja, diese Aussage am Anfang hätte dem TE wahrscheinlich mehr gebracht als der Rest deiner wall of text hier.

[Takeshi95]

vor 4 Stunden schrieb eneR:

Ich schlage vor du gehst zu deinem Chef und sagst ihm einfach dass dir das nötige Rüstzeug, sprich Erfahrung und Methodik fehlt um die Aufgabe ordentlich und fachgerecht zu erledigen… alles andere ist weniger als semi-professionell.

Das habe ich ihm ganz zu Anfang versucht klar zu machen. Darauf kam "Ach, fangen Sie erstmal an, wir gucken dann"

vor 3 Stunden schrieb TooMuchCoffeeMan:

Davon abgesehen wissen wir auch gar nicht um was für ein Audit es sich handelt.

Same here :c

vor 3 Stunden schrieb TooMuchCoffeeMan:

Als allgemeiner Tipp: Solche Konzepte sind immer schön und gut. Die Frage die der Auditor stellen wird ist: Ist das Ding den Mitarbeitern bekannt? Wird es angewendet? Mindestens die Freigabe des Geschäftsführers sollte also vorhanden sein. Es muss kommuniziert bzw. veröffentlicht werden und ein Geltungsbereich ist zu definieren.

Also die grundsätzliche Anweisung zu dem ganzen Ding kommt scheinbar von einem meiner GFs daher denke ich, dass er das auch genehmigen wird?

vor 2 Stunden schrieb Maniska:

An seiner Stelle würde ich mich wie gesagt darauf konzentrieren gewisse Standarddokumente, die man auch im Rahmen eines Konzeptes benötigen wird, zu erstellen, oder auf deren Erstellung hinzuarbeiten. Dass er dabei vor allem am Anfang den Fokus eher auf die "dokumentierenden Dokumenten" und weniger auf die Prozessbeschreibungen oder Arbeitsanweisungen legt liegt in der Natur der Sache.

Da bin ich jetzt auch bei  

vor 2 Stunden schrieb Maniska:

Wenn man den TE dem Auditor zum Fraß vorwirft sollte er eh schnell rennen.

Und das werde ich tun, sollte es am 15ten dann dazu kommen. Ich bin zwar erst frisch ausgelernt aber irgendwo is die Grenze.

vor einer Stunde schrieb eneR:

Nunja, diese Aussage am Anfang hätte dem TE wahrscheinlich mehr gebracht als der Rest deiner wall of text hier.

Ich hatte an den ganzen Hinweisen bisher nichts auszusetzen und nehme erstmal alles an Infos gerne mit! 😊

 

Aber ich denke, dass ich jetzt erstmal was abzuarbeiten habe, vielen Dank dafür (ernst gemeint)!

[TooMuchCoffeeMan]

vor 13 Stunden schrieb Takeshi95:

Also die grundsätzliche Anweisung zu dem ganzen Ding kommt scheinbar von einem meiner GFs daher denke ich, dass er das auch genehmigen wird?

Ich weiß nicht wie groß dein Unternehmen ist, aber Geschäftsführerebene ist schon mal der richtige Adressat. Das solltest du allerdings über deinen Chef spielen. Da würde ich mich stumpf an die "Befehlskette" halten. Dein Chef muss sich darum kümmern, dass das Konzept freigegeben wird oder es zumindest an seine eigene nächsthöhere Ebene weitergeben. 

[Takeshi95]

Update: Kollegin soll jetzt nebenbei auch noch unser DSGVO Konzept überarbeiten..

Sucht jemand einen Sysadmin in Bremen? 😥

[Amorphium]

es gibt sicherlich viele coole IT-Standorte in Deutschland, Bremen gehört meiner Erfahrung nach aber eher nicht dazu