Sicherheits-Checkliste

AIM-IT Cyberschutz | Erstellt am:
Unternehmen: _________________________________ | Verantwortlich: _________________________________

Sicherheits-Checklisten

Strukturierte Checklisten für Compliance, technische Sicherheit und organisatorische Maßnahmen

Compliance Technisch Organisatorisch Notfall

Ihr Fortschritt

0%
0 von 0 erledigt Fortschritt wird lokal gespeichert

Compliance & Rechtliches

Erfüllung gesetzlicher Anforderungen (NIS2, DSGVO, GmbHG)

Warum Compliance wichtig ist

Als Geschäftsführer haften Sie persönlich für die Einhaltung von Cybersicherheitsvorschriften. NIS2 kann Bußgelder bis zu 10 Mio. € oder 2% des Jahresumsatzes bedeuten.

NIS2-Anforderungen

  • Prüfung der NIS2-Betroffenheit
    Klärung, ob Ihr Unternehmen unter die NIS2-Richtlinie fällt (ab 50 MA oder 10 Mio. € Umsatz in kritischen Sektoren)
    Kritisch
  • Risikomanagement etabliert
    Dokumentiertes Risikomanagement für Cybersicherheit mit regelmäßiger Überprüfung
    Kritisch
  • Geschäftsführer-Schulung
    Nachweis der Cybersicherheits-Schulung für Leitungsorgane (NIS2 Pflicht)
    Kritisch
  • Meldeprozess definiert
    24-Stunden-Frühwarnung und 72-Stunden-Meldung bei Sicherheitsvorfällen vorbereitet
    Hoch
  • Lieferketten-Sicherheit
    Cybersicherheitsanforderungen in Verträgen mit Lieferanten und Dienstleistern
    Hoch
  • Business Continuity Plan
    Dokumentierter Plan zur Aufrechterhaltung des Geschäftsbetriebs bei Cyberangriffen
    Hoch

DSGVO-Anforderungen

  • Verarbeitungsverzeichnis vorhanden
    Dokumentation aller Verarbeitungstätigkeiten mit personenbezogenen Daten
    Kritisch
  • Technische und organisatorische Maßnahmen (TOMs)
    Dokumentierte Schutzmaßnahmen gemäß Art. 32 DSGVO
    Kritisch
  • Auftragsverarbeiter-Verträge
    AVV mit allen externen Dienstleistern, die Zugriff auf personenbezogene Daten haben
    Hoch
  • Datenschutzbeauftragter benannt
    Falls erforderlich: Interner oder externer DSB bestellt und gemeldet
    Hoch
  • Datenpannen-Meldeprozess
    72-Stunden-Meldepflicht bei Datenschutzverletzungen vorbereitet
    Hoch

GmbH-Gesetz & Haftung

  • Sorgfaltspflicht dokumentiert
    Nachweis der Erfüllung der Sorgfaltspflicht eines ordentlichen Geschäftsmannes (§ 43 GmbHG)
    Kritisch
  • IT-Budget angemessen
    Nachweislich angemessenes Budget für IT-Sicherheit bereitgestellt
    Hoch
  • Cyberversicherung geprüft
    Cyber-Versicherung abgeschlossen oder bewusst begründet abgelehnt
    Mittel

Weiterführende Informationen:

NIS2 im Detail DSGVO-Anforderungen Rechtliche Dokumentation

Technische Sicherheit

Grundlegende technische Schutzmaßnahmen

  • Multi-Faktor-Authentifizierung (MFA)
    MFA für alle kritischen Systeme aktiviert (E-Mail, VPN, Admin-Zugänge)
    Kritisch
  • Backup-Strategie 3-2-1
    3 Kopien, 2 verschiedene Medien, 1 offline/offsite - täglich getestet
    Kritisch
  • Patch-Management
    Regelmäßige Updates für alle Systeme, kritische Patches innerhalb 72h
    Kritisch
  • Endpoint Protection
    Aktuelle Antivirus/EDR-Lösung auf allen Endgeräten
    Hoch
  • Firewall konfiguriert
    Netzwerk-Segmentierung und Firewall-Regeln überprüft
    Hoch
  • Verschlüsselung
    Datenverschlüsselung für sensible Daten (at rest und in transit)
    Hoch
  • Passwort-Richtlinie
    Sichere Passwortrichtlinie implementiert und durchgesetzt (min. 12 Zeichen)
    Hoch
  • E-Mail-Schutz
    Spam-Filter, SPF/DKIM/DMARC konfiguriert, Attachment-Scanning
    Hoch
  • Logging & Monitoring
    Zentrale Log-Sammlung und Überwachung kritischer Systeme
    Mittel
  • Mobile Device Management
    Firmenmobile Geräte zentral verwaltet und abgesichert
    Mittel

Organisatorische Maßnahmen

Prozesse, Schulungen und Verantwortlichkeiten

  • IT-Sicherheitsverantwortlicher benannt
    Klare Verantwortlichkeit für IT-Sicherheit definiert und kommuniziert
    Kritisch
  • Mitarbeiter-Schulungen
    Regelmäßige Security-Awareness-Schulungen für alle Mitarbeiter
    Kritisch
  • Phishing-Tests
    Regelmäßige simulierte Phishing-Angriffe zur Sensibilisierung
    Hoch
  • IT-Sicherheitsrichtlinie
    Dokumentierte und kommunizierte IT-Nutzungsrichtlinie
    Hoch
  • Zugriffsrechte-Management
    Principle of Least Privilege umgesetzt, regelmäßige Überprüfung
    Hoch
  • Onboarding/Offboarding-Prozess
    Sichere Prozesse für Mitarbeitereintritt und -austritt
    Hoch
  • Clean Desk Policy
    Sensible Dokumente werden nicht offen liegen gelassen
    Mittel
  • Lieferanten-Bewertung
    IT-Sicherheit bei der Auswahl von Dienstleistern berücksichtigt
    Mittel

Notfall & Incident Response

Vorbereitung auf den Ernstfall

  • Incident Response Plan
    Dokumentierter Plan für den Umgang mit Sicherheitsvorfällen
    Kritisch
  • Notfall-Kontaktliste
    Aktuelle Liste mit IT-Support, Forensik, Rechtsanwalt, Versicherung
    Kritisch
  • Backup-Wiederherstellung getestet
    Regelmäßige Test-Restores durchgeführt und dokumentiert
    Kritisch
  • Kommunikationsplan
    Festgelegt, wer bei einem Vorfall wie kommuniziert (intern/extern)
    Hoch
  • Krisenübung durchgeführt
    Tabletop-Exercise oder Simulation eines Cyberangriffs
    Hoch
  • Offline-Dokumentation
    Wichtigste Dokumente auch offline/ausgedruckt verfügbar
    Mittel

AIM-IT Cyberschutz Präsentations-System

Version 4.4 | November 2025

Kontakt: michael.volgger@aim-it.at | www.cyberschutz.it