Existieren Checklisten zur Überprüfung der Einhaltung der Informationssicherheit in Prozessen?

Typische Bedrohungen beim Informationssicherheitsrisiko „Unbefugtes Eindringen in Räumlichkeiten“ sind: **Bedrohungen:** - Diebstahl von IT-Geräten (z. B. Laptops, Server) - Diebstahl oder Einsichtnahme von vertraulichen Dokumenten - Sabotage (z. B. Zerstörung von Hardware) - Installation von Schadsoftware (z. B. durch USB-Sticks) - Ausspähen von Informationen (z. B. durch Fotografieren von Bildschirmen/Dokumenten) - Manipulation von Systemen (z. B. Server, Netzwerktechnik) **Typische Schwachstellen:** - Fehlende oder unzureichende Zugangskontrollen (z. B. keine Schließsysteme, offene Türen) - Keine oder unzureichende Überwachung (z. B. keine Kameras, keine Alarmanlagen) - Unaufmerksames Personal (z. B. „Tailgating“: Mitgehen hinter berechtigten Personen) - Fehlende Sensibilisierung der Mitarbeitenden - Unzureichende Dokumentation von Besuchern - Wertgegenstände oder vertrauliche Informationen offen zugänglich **Behandlungsplan (Maßnahmen):** 1. **Physische Zugangskontrollen:** - Einsatz von Schließsystemen (z. B. elektronische Zutrittskontrolle, Schlüsselmanagement) - Zutritt nur für berechtigte Personen (z. B. Ausweiskontrolle, Besucherausweise) 2. **Überwachung:** - Installation von Überwachungskameras und Alarmanlagen - Regelmäßige Kontrollgänge durch Sicherheitspersonal 3. **Sensibilisierung:** - Schulungen für Mitarbeitende zu Sicherheitsbewusstsein und Umgang mit Besuchern - Hinweise auf „Tailgating“ und Meldepflicht bei verdächtigen Personen 4. **Dokumentation:** - Besucherliste führen und Besucher begleiten - Protokollierung von Zutritten zu sensiblen Bereichen 5. **Schutz sensibler Informationen:** - Verschließen von Büros und Schränken außerhalb der Arbeitszeiten - Keine vertraulichen Informationen offen liegen lassen („Clean Desk Policy“) 6. **Technische Maßnahmen:** - Einsatz von Notebooks mit Festplattenverschlüsselung - Automatische Sperrung von Bildschirmen bei Abwesenheit 7. **Regelmäßige Überprüfung:** - Überprüfung und Aktualisierung der Zutrittsberechtigungen - Durchführung von Sicherheitstests (z. B. Penetrationstests, Social Engineering) Durch die Kombination dieser Maßnahmen kann das Risiko „Unbefugtes Eindringen in Räumlichkeiten“ deutlich reduziert werden.

Vandalismus an einem Unternehmensgebäude kann im Kontext der Informationssicherheit als Sicherheitsereignis oder sogar als Sicherheitsvorfall gelten – das hängt vom konkreten Zusammenhang ab. **Definitionen nach gängigen Standards (z.. ISO/IEC 27001):** - **Sicherheitsereignis:** Ein identifizierbares Auftreten eines Zustands, eines Systemzustands oder einer Situation, die auf eine mögliche Beeinträchtigung der Informationssicherheit hindeutet. - **Sicherheitsvorfall:** Ein einzelnes oder eine Serie von unerwünschten oder unerwarteten Informationssicherheitsereignissen, die mit hoher Wahrscheinlichkeit die Geschäftsabläufe beeinträchtigen. **Bezug zu Vandalismus:** - **Vandalismus** ist zunächst eine physische Bedrohung. Wird durch Vandalismus z. B. ein Serverraum beschädigt, IT-Infrastruktur zerstört oder der Zugang zu sensiblen Informationen ermöglicht, betrifft dies direkt die Schutzziele der Informationssicherheit (Vertraulichkeit, Integrität, Verfügbarkeit). - Auch wenn „nur“ das Gebäude beschädigt wird, kann dies indirekt Auswirkungen auf die Informationssicherheit haben, etwa durch gestörte Zutrittskontrollen oder unterbrochene Stromversorgung. **Fazit:** - **Ja**, Vandalismus an einem Unternehmensgebäude kann als Sicherheitsereignis gelten, wenn er Auswirkungen auf die Informationssicherheit hat oder haben könnte. - **Ja**, es kann auch ein Sicherheitsvorfall sein, wenn dadurch tatsächlich die Informationssicherheit beeinträchtigt wird (z. B. Datenverlust, Systemausfall, unbefugter Zugriff). **Praxis:** In einem Informationssicherheits-Managementsystem (ISMS) sollte Vandalismus als potenzielle Bedrohung für die Informationssicherheit betrachtet und entsprechend im Risikomanagement sowie in den Meldeprozessen berücksichtigt werden. Weitere Informationen findest du z. B. im [BSI IT-Grundschutz-Kompendium](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/IT-Grundschutz/IT-Grundschutz-Kompendium/it-grundschutz-kompendium_node.html) oder in der [ISO/IEC 27001](https://www.iso.org/standard/27001).

Ja, ein zu kurzes Passwort gilt in der Informationssicherheit als Schwachstelle. Kurze Passwörter sind leichter durch sogenannte Brute-Force-Angriffe oder Wörterbuchangriffe zu erraten, da die Anzahl möglicher Kombinationen gering ist. Aus diesem Grund empfehlen Sicherheitsstandards und -richtlinien (wie z. B. [BSI](https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Passwoerter/passwoerter_node.html) oder [NIST](https://pages.nist.gov/800-63-3/sp800-63b.html)) eine Mindestlänge für Passwörter, um die Sicherheit zu erhöhen. Ein zu kurzes Passwort stellt somit eine potenzielle Schwachstelle dar, die die Sicherheit von Systemen und Daten gefährden kann.