Kontakt

Informationssicherheitsrichtlinie

Informationssicherheitsrichtlinie

Enrik Spoerer, Arda Okay GbR
Version 1.2
Datum: 26.02.2026
Dokumentenverantwortlich: Geschäftsführung
Freigabe durch: Geschäftsführung

1. Zweck

Diese Richtlinie definiert die strategischen und organisatorischen Grundsätze zur Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.

Sie bildet die Grundlage des Informationssicherheits-Managementsystems (ISMS) gemäß ISO/IEC 27001.

Ziel ist:

  • Schutz von Unternehmens- und Kundendaten
  • Einhaltung gesetzlicher und vertraglicher Anforderungen
  • Reduzierung von Informationssicherheitsrisiken
  • Sicherstellung der Geschäftskontinuität
  • Aufbau einer nachhaltigen Sicherheitskultur

2. Geltungsbereich

Diese Richtlinie gilt für:

  • alle Geschäftsbereiche
  • alle Mitarbeitenden
  • externe Dienstleister
  • sämtliche IT-Systeme
  • Cloud-Infrastruktur
  • Entwicklungs-, Test- und Produktionsumgebungen
  • personenbezogene und geschäftskritische Daten

3. Sicherheitsziele

Die Organisation verfolgt folgende Informationssicherheitsziele:

  • Schutz vor unbefugtem Zugriff
  • Schutz vor Datenverlust oder Manipulation
  • Minimierung von Systemausfällen
  • Gewährleistung gesetzlicher Compliance
  • kontinuierliche Verbesserung des Sicherheitsniveaus

Sicherheitsziele werden regelmäßig überprüft und bei Bedarf angepasst.

4. Einbettung in das ISMS

Die Informationssicherheit wird systematisch gesteuert durch:

  • risikobasiertes Vorgehen
  • dokumentierte Prozesse
  • regelmäßige Überprüfung der Wirksamkeit von Maßnahmen
  • kontinuierliche Verbesserung nach dem PDCA-Prinzip

Risiken werden identifiziert, bewertet und behandelt.

5. Governance & Verantwortlichkeit

  • Die Geschäftsführung trägt die Gesamtverantwortung für Informationssicherheit.
  • Sicherheitsverantwortlichkeiten sind definiert und dokumentiert.
  • Alle Mitarbeitenden sind verpflichtet, sicherheitsrelevante Vorgaben einzuhalten.

Diese Richtlinie wird mindestens 1x jährlich überprüft.

6. Zugriffskontrolle

  • Zugriff nach dem Need-to-Know- und Least-Privilege-Prinzip
  • Individuelle Benutzerkonten
  • Keine Shared-Accounts
  • Multi-Faktor-Authentifizierung für privilegierte Zugänge
  • Regelmäßige Überprüfung von Berechtigungen
  • Nutzung sicherer Passwortverwaltungsmechanismen

Zugriffe auf personenbezogene Daten erfolgen ausschließlich bei geschäftlicher Notwendigkeit.

7. Infrastruktur- & Netzwerksicherheit

  • Betrieb in kontrollierten Cloud-Umgebungen
  • Nutzung bevorzugt europäischer Regionen
  • Logische Netzwerksegmentierung
  • Trennung von Entwicklungs-, Test- und Produktionsumgebungen
  • Zugriffskontrolle über Firewalls und Security-Group-Regeln
  • Keine öffentlich erreichbaren Administrationsschnittstellen
  • Verschlüsselung von Datenübertragungen
  • Verschlüsselte Speicherung sensibler Daten
  • Protokollierung sicherheitsrelevanter Ereignisse

Zusätzlich werden sicherheitsrelevante Netzwerkereignisse kontinuierlich überwacht.

Cloud-native Monitoring- und Alerting-Mechanismen werden eingesetzt, um unautorisierte Zugriffe, ungewöhnliche Aktivitäten oder potenzielle Netzwerkbedrohungen frühzeitig zu erkennen und zu verhindern.

8. Endgerätesicherheit

  • Aktivierte Sicherheitsupdates
  • Malware-Schutz
  • System-Firewall aktiviert
  • Bildschirmsperre bei Inaktivität
  • Passwort- oder biometrisch geschützte Geräte

Server-Systeme werden gehärtet betrieben, inklusive:

  • eingeschränkter Zugriffsrechte
  • SSH-Key-Authentifizierung
  • Minimierung offener Ports

Auf allen unternehmensrelevanten Endgeräten ist eine aktuelle Endpoint-Protection- bzw. Antimalware-Lösung installiert und aktiv.

Virendefinitionen sowie Sicherheitsupdates werden automatisch aktualisiert.

8a. Sicherheitsgrundlagen (Security Baseline)

Zur Sicherstellung eines sicheren täglichen Betriebs gelten folgende Mindestanforderungen:

  • Verpflichtende Bildschirmsperre bei Inaktivität
  • Verwendung komplexer, individueller Passwörter
  • Nutzung von Multi-Faktor-Authentifizierung für sicherheitsrelevante Systeme
  • Clean-Desk-Prinzip zur Vermeidung unbefugter Einsichtnahme
  • Keine Weitergabe von Zugangsdaten

Diese Mindestanforderungen sind verbindlich für alle Mitarbeitenden.

9. Sichere Softwareentwicklung

  • Trennung von Entwicklungs-, Test- und Produktionsumgebungen
  • Keine Speicherung von Secrets im Code-Repository
  • Code-Reviews vor Deployment
  • Regelmäßige Aktualisierung von Abhängigkeiten
  • Logging sicherheitsrelevanter Ereignisse
  • Sicherheitsanforderungen werden bereits in der Designphase berücksichtigt

10. Datenklassifizierung

Informationen werden in folgende Schutzstufen eingeteilt:

  • öffentlich
  • intern
  • vertraulich
  • besonders schutzbedürftig

Schutzmaßnahmen richten sich nach der jeweiligen Klassifizierung.

Die Klassifizierung bestimmt die anzuwendenden Schutzmaßnahmen.
Beispielsweise gilt:

  • Vertrauliche und besonders schutzbedürftige Daten werden verschlüsselt übertragen.
  • Besonders schutzbedürftige Daten werden zusätzlich verschlüsselt gespeichert.
  • Zugriffe auf vertrauliche Daten werden protokolliert.

11. Datensicherheit

  • Minimierung personenbezogener Daten
  • DSGVO-konforme Verarbeitung
  • Verschlüsselte Backups
  • Dokumentierte Löschkonzepte
  • Schutz vor unbefugtem Zugriff

12. Monitoring & Protokollierung

  • Protokollierung sicherheitsrelevanter Ereignisse
  • Nachvollziehbare Dokumentation administrativer Aktionen
  • Regelmäßige Überprüfung von Log-Daten
  • Erkennung ungewöhnlicher Aktivitäten

13. Schwachstellenmanagement

  • Regelmäßige Sicherheitsupdates
  • Bewertung technischer Schwachstellen
  • Priorisierte Behebung identifizierter Risiken
  • Reduzierung externer Angriffsflächen

Details sind in der Schwachstellen- und Bedrohungsmanagement-Richtlinie geregelt.

14. Incident Management

Sicherheitsvorfälle werden gemäß der Vorfallsmanagement-Richtlinie behandelt.

Dies umfasst:

  • Identifikation
  • Bewertung
  • Isolation
  • Dokumentation
  • externe Benachrichtigung, sofern erforderlich
  • Nachbereitung

15. Drittanbieter- und Lieferkettenmanagement

  • Auswahl vertrauenswürdiger Anbieter
  • Prüfung von Sicherheitsstandards
  • Vertragliche Regelungen (z. B. Auftragsverarbeitung)
  • Risikobasierte Bewertung externer Abhängigkeiten

16. Schulung und Sensibilisierung

Mitarbeitende werden regelmäßig zu Informationssicherheitsanforderungen geschult.

Schulungen werden dokumentiert.

17. Kontinuierliche Verbesserung

Die Wirksamkeit des ISMS wird regelmäßig überprüft.

Erkenntnisse aus:

  • Sicherheitsvorfällen
  • internen Reviews
  • Schwachstellenanalysen

führen zu Verbesserungsmaßnahmen.

18. Inkrafttreten

Diese Richtlinie tritt mit Veröffentlichung in Kraft und ist verbindlich für alle betroffenen Personen.

Powered by  GDPR Cookie Compliance
Datenschutz-Übersicht

Diese Website verwendet Cookies, damit wir dir die bestmögliche Benutzererfahrung bieten können. Cookie-Informationen werden in deinem Browser gespeichert und führen Funktionen aus, wie das Wiedererkennen von dir, wenn du auf unsere Website zurückkehrst, und hilft unserem Team zu verstehen, welche Abschnitte der Website für dich am interessantesten und nützlichsten sind.