farbcode

Appearance

Arbeitsablauf: Inbetriebnahme und Änderung von IT-Systemen

Zweck

Zweck dieses Arbeitsablaufs ist es, die technischen und organisatorischen Sicherheitsmaßnahmen für IT-Systeme bei deren Inbetriebnahme und Änderung sicherzustellen.

Die hier beschriebene Vorgehensweise richtet sich an Fachpersonal.
Sie enthält keine detaillierte Schritt-für-Schritt-Anleitung, sondern beschreibt Ziele und Rahmenbedingungen,
die von den Durchführenden verbindlich einzuhalten sind.

Verantwortung

  • Gesamtverantwortung: Geschäftsführung
    → trägt die Verantwortung für die korrekte und vollständige Umsetzung dieses Verfahrens.
  • Durchführungsverantwortung: Administrator
    → ist verantwortlich für die sachgerechte und vollständige Durchführung der Arbeitsschritte.

Beschreibung / Ablauf / Regelungen

Bei der Inbetriebnahme oder Änderung eines IT-Systems müssen – soweit technisch möglich –
die folgenden Arbeitsschritte ausgeführt und dokumentiert werden:

Basisschutzmaßnahmen

  1. Vertrauenswürdige Quellen

    • System- und Anwendungssoftware wird ausschließlich aus vertrauenswürdigen Quellen bezogen.

  2. Sicherheitsupdates

    • Alle vom Hersteller bereitgestellten Sicherheitsupdates werden zeitnah installiert.

  3. Schutz vor Schadsoftware

    • Das IT-System verfügt über einen aktiven Echtzeitschutz, der das Ausführen erkannter Schadsoftware verhindert.
    • Es wird sichergestellt, dass aktuelle Erkennungsmuster des Herstellers verwendet werden.

  4. Startberechtigte Medien

    • Das IT-System kann nur von autorisierten Medien gestartet werden.

  5. Authentifizierung

    • Der Zugang zu allen nichtöffentlichen Bereichen des IT-Systems ist durch Anmeldeverfahren mit Authentifizierung geschützt.
    • Es werden keine trivialen Authentifizierungsmerkmale (z. B. Standard- oder leicht erratbare Passwörter) verwendet.
    • Interaktive Sitzungen werden bei Inaktivität automatisch gesperrt oder beendet.
    • Systematisches Ausprobieren von Anmeldeinformationen wird technisch erschwert.

  6. Administrative Tätigkeiten

    • Alle administrativen Aufgaben werden über dedizierte Administrationskonten durchgeführt.
    • Diese Zugänge werden nicht für den alltäglichen Gebrauch genutzt.

  7. Mobile IT-Systeme

    • Gespeicherte Informationen werden durch Verschlüsselung geschützt.
    • Bei Verlust wird sichergestellt, dass Zugänge der Organisation nicht unberechtigt genutzt werden können.

  8. Netzwerkverkehr und Exposition

    • Bei exponierten IT-Systemen (z. B. Internetzugang, öffentlich zugängliche Räume) wird der Netzwerkverkehr auf das notwendige Minimum beschränkt.
    • Bekannte Schwachstellen werden zeitnah behoben.

  9. Datensicherung

    • Falls erforderlich, werden die Maßnahmen zur Datensicherung überprüft und angepasst
      → z. B. Sicherungsziele, Intervall, Wiederanlaufplan.

Dokumentation

  • Die Inventarisierung der IT-Systeme wird aktualisiert.
  • Dazu wird das Arbeitsblatt „IT-Systeme.xlsx“ verwendet.
    → Für generelle Anforderungen siehe 5 IT-Systeme

Hinweis:
Alle Änderungen und Inbetriebnahmen sind nachvollziehbar zu dokumentieren.
Das Ziel ist die vollständige Nachvollziehbarkeit der Sicherheitsmaßnahmen gemäß den Anforderungen der VdS 10005.

Copyright © 2025-present //farbcode GmbH