Du bist Mitarbeiter der internen Revision einer deutschen Universitätsklinik und musst die IT-Sicherheit prüfen. Wie sieht eine Checkliste konkret aus?

Eine Checkliste zur Prüfung der IT-Sicherheit in einer deutschen Universitätsklinik könnte folgende Punkte umfassen: 1. **Organisatorische Maßnahmen:** - Existenz und Aktualität einer IT-Sicherheitsrichtlinie - Schulung und Sensibilisierung der Mitarbeiter in IT-Sicherheitsfragen - Verantwortlichkeiten und Zuständigkeiten klar definiert 2. **Technische Maßnahmen:** - Firewall-Konfiguration und -Management - Einsatz und Aktualisierung von Antiviren- und Antimalware-Software - Regelmäßige Sicherheitsupdates und Patch-Management - Verschlüsselung sensibler Daten (z.B. Patientendaten) - Sicherstellung der Netzwerksicherheit (z.B. durch VLANs, VPNs) 3. **Zugriffsmanagement:** - Implementierung eines rollenbasierten Zugriffskontrollsystems - Regelmäßige Überprüfung und Aktualisierung von Benutzerrechten - Einsatz von Multi-Faktor-Authentifizierung (MFA) - Protokollierung und Überwachung von Zugriffsversuchen 4. **Datensicherung und -wiederherstellung:** - Regelmäßige und automatisierte Backups - Sicherstellung der Integrität und Verfügbarkeit von Backups - Regelmäßige Tests der Datenwiederherstellung 5. **Netzwerksicherheit:** - Segmentierung des Netzwerks zur Minimierung von Sicherheitsrisiken - Überwachung des Netzwerkverkehrs auf ungewöhnliche Aktivitäten - Einsatz von Intrusion Detection/Prevention Systemen (IDS/IPS) 6. **Physische Sicherheit:** - Zugangskontrollen zu Serverräumen und anderen sensiblen Bereichen - Einsatz von Überwachungskameras und Alarmsystemen - Schutz vor Umwelteinflüssen (z.B. Brandschutz, Klimatisierung) 7. **Notfallmanagement:** - Existenz eines Notfallplans für IT-Sicherheitsvorfälle - Regelmäßige Durchführung von Notfallübungen - Dokumentation und Analyse von Sicherheitsvorfällen 8. **Compliance und rechtliche Anforderungen:** - Einhaltung der Datenschutz-Grundverordnung (DSGVO) - Berücksichtigung branchenspezifischer Vorschriften (z.B. KRITIS-Verordnung) - Regelmäßige Audits und Überprüfungen durch externe Stellen Diese Checkliste sollte regelmäßig überprüft und an aktuelle Bedrohungslagen sowie technische Entwicklungen angepasst werden.