IT-Systeme
Inventarisierung
Alle IT-Systeme (z. B. aktive Netzwerkkomponenten, Laptops, Server, virtuelle Server) müssen inventarisiert werden.
Die Inventarisierung erfolgt über die Datei „IT-Systeme.xlsx“ im Verzeichnis:
OneDrive / Verwaltung / IT
Die Inventarisierung der IT-Systeme muss stets aktuell sein.
Bei Inbetriebnahme, Änderung oder Ausmusterung sind die entsprechenden Arbeitsabläufe einzuhalten.
Inbetriebnahme und Änderung
Bei der Inbetriebnahme und Änderung von IT-Systemen muss sichergestellt werden, dass:
- die notwendigen Schutzmaßnahmen implementiert sind
- die Maßnahmen zur Datensicherung bei Bedarf angepasst werden
Die entsprechenden Abläufe sind im Dokument
„Arbeitsablauf: Ausmusterung und Wiederverwendung von IT-Systemen“ (siehe Arbeitsablauf: Ausmusterung und Wiederverwendung von IT-Systemen) beschrieben und müssen eingehalten werden.
Ausmusterung und Wiederverwendung
Bei der Ausmusterung von IT-Systemen sind die Abläufe aus dem Dokument
„Arbeitsablauf: Ausmusterung und Wiederverwendung von IT-Systemen“ (siehe Arbeitsablauf: Ausmusterung und Wiederverwendung von IT-Systemen) einzuhalten.
Schutzmaßnahmen
Software
Alle Software muss aus vertrauenswürdigen Quellen bezogen werden:
- Direkt von den Herstellerseiten
- Aus dem Apple App Store oder dem Google Play Store
- Shopware-Komponenten aus dem Shopware Store
- PHP-Komponenten über Composer und Packagist
- JavaScript-Komponenten über npm oder yarn
Die automatische Updatefunktion muss bei allen Komponenten aktiviert und genutzt werden.
Strukturierte Updateversorgung
Für die virtuellen Server und direkt exponierten Systeme gilt bei farbcode folgender Ansatz:
Im Firmennetz werden ausschließlich Ubiquiti-Systeme eingesetzt
→ Zuverlässige und automatisierte Sicherheitsupdates
→ Kontrolle der aktuellen Software im Rahmen der monatlichen ChecklisteAlle virtuellen Server werden ausschließlich mit Laravel Forge provisioniert und verwaltet
→ Automatische Einspielung von Sicherheitsupdates
→ Fehlerbenachrichtigung an dev@farbcode.net
Einschränkung:
Bei anderen Systemen wird – soweit technisch möglich – die automatische Updatefunktion genutzt.
Sollten Störungen auftreten, müssen diese umgehend dem Administrator gemeldet werden.
Schutz vor Schadsoftware
Windows-Geräte:
Echtzeitschutz durch Microsoft Defender (integriert in Windows)
macOS-Geräte:
Echtzeitschutz durch Gatekeeper, Notarisation und XProtect
Virtuelle Server (Linux / Ubuntu):
Kein zusätzlicher Virenscanner erforderlich
→ Das bestehende Sicherheitskonzept reicht aus
→ Bestätigung durch Empfehlung des BSI („IT im Unternehmen“)
„Die Installation eines Virenschutzprogramms ist, basierend auf dem aktuellen Stand der Bedrohungslage in Bezug auf Schadsoftware für Linux, unter Ubuntu nicht notwendig.“
Andere Systeme (z. B. Switches, Firewalls, Drucker):
Kein Echtzeitschutz möglich.
Starten von fremden Medien
| System | Regelung |
|---|---|
| Windows | Starten von fremden Medien ist durch ein BIOS-Passwort zu sperren |
| macOS | Starten von fremden Medien ist zu sperren → Apple Support |
| Netzwerkinfrastruktur | Technisch nicht möglich |
| Backup-Server | Gesichert durch abgeschlossenen Serverschrank |
| Virtuelle Server | Technisch nicht möglich |
Authentifizierung
Der Zugang zu allen nichtöffentlichen Bereichen der IT-Systeme erfolgt nur über Authentifizierungsverfahren.
Clients (Windows & macOS)
- Verwendung von sicheren / starken Passwörtern
→ Siehe Kapitel 4.1 Regelungen für den Umgang mit der IT - Nach spätestens 15 Minuten Inaktivität automatische Sperrung
Virtuelle Server
- Passwort-Authentifizierung ist deaktiviert
- Zugriff erfolgt ausschließlich über persönliche SSH-Zertifikate
- Nach spätestens 15 Minuten Inaktivität automatische Sperrung
Weitere IT-Systeme
- Verwendung von automatisch generierten, starken, kryptischen Passwörtern mit mindestens 16 Zeichen
→ Verwaltung z. B. über KeePass oder vergleichbare Systeme
Zugänge und Zugriffsrechte
Alle administrativen Tätigkeiten müssen über gesonderte Admin-Zugänge erfolgen,
die nicht für den Alltagsbetrieb verwendet werden dürfen.
Clients (Windows & macOS)
- Programmierer sind hiervon ausgenommen
→ Für Entwicklungsprozesse ist Admin-Zugriff notwendig
Virtuelle Server
- Tätigkeiten erfolgen ausschließlich über den Benutzer „forge“
- Der Benutzer „root“ wird nicht verwendet
Mobile IT-Systeme
Alle Informationen auf mobilen Geräten müssen durch Verschlüsselung geschützt werden.
- Auf allen Laptops ist die Festplattenverschlüsselung aktiv
→ Siehe Checkliste neuer Laptop - Smartphones und Tablets sind ausschließlich Apple-Geräte mit permanent aktiver Geräteverschlüsselung
Beschränkung des Netzwerkverkehrs
Es werden keine Geräte eingesetzt, die ein aktives Gefährdungspotenzial besitzen.
Dennoch wird der Netzwerkverkehr auf ein Minimum reduziert.
Netzwerkstruktur
- Das Firmennetz ist nicht von außen erreichbar
- Im Router und in der Firewall existiert keine Route von außen ins interne Netz
- Das Gast-WLAN ist vom restlichen Netz getrennt
Clients (Windows & macOS)
- Die standardmäßige Hersteller-Firewall ist immer aktiviert
Virtuelle Server
- Jeder Server besitzt eine aktive und konfigurierte Firewall (UFW)
→ Nur Port 22, 80 und 443 sind nach außen geöffnet - Müssen zusätzliche Ports geöffnet werden, sind weitere Sicherheitsmaßnahmen erforderlich:
- Freigabe auf spezifische IP-Adressen
- Aktivierung der Cloud-Firewall bei Hetzner
Hinweis:
Alle in diesem Kapitel beschriebenen Maßnahmen dienen der Sicherung der IT-Systeme, der Integrität der Daten und dem Schutz vor Sicherheitsvorfällen.
Die Einhaltung dieser Regeln ist für alle Mitarbeitenden verbindlich.