IT-Security Check - Auswertung

Ausgangslage: Solides Fundament, aber Lücken im Detail

Was bereits gut läuft

• Richtlinien & Notfallhandbuch sind vorhanden – das organisatorische Fundament steht.

• Zentrales Gerätemanagement (Intune) sorgt für Verschlüsselung, Softwareverteilung und Basiscompliance.

• Microsoft 365 ist etabliert (E-Mail, Teams, SharePoint) – inkl. Signatur/Verschlüsselung für E-Mails.

• Perimeter-Schutz mit aktueller, hochverfügbarer Firewall und MFA.

• USV sichert geordnetes Herunterfahren bei Stromausfall.

Wo Handlungsbedarf besteht

• Server/Virtualisierung: Alte Einzel-Hosts ohne Cluster & zentralen Speicher – Ausfallrisiko.

• Backups: Uneinheitlich, teils ohne kritische Systeme, zu kurze Aufbewahrungsfristen, seltene Restore-Tests.

• Netzwerk & E-Mail: Gewachsen, teilweise alte Switches, breite Firewall-Regeln; M365 nutzt v. a. Basisschutz.

• Endpoint Security: Basisschutz vorhanden, aber ohne zentrale, ganzheitliche Sicht und EDR/XDR.

• Organisation: Policies existieren, werden aber nicht durchgängig gelebt (Kontrollen, Nachweise, Reviews).
  
  

Die größten Risiken im Überblick 

• Verfügbarkeit: Einzel-Hosts, fehlende Redundanz im Core-Netz – ein Ausfall kann Prozesse stoppen.

• Datenverlust: Unvollständige/kurze Backups, keine Offsite-Strategie, seltene Wiederherstellungstests.

• Angriffsfläche: Weit gefasste Firewall-Regeln, fehlende Segmentierung und BYOD-Nutzung.

• Identitäten: MFA nicht konsequent für Admin-Logins, verwaiste Konten, lokale Adminrechte am Client.

• Physik: Teilweise unverschlossene Racks/Technikräume, gemischte Nutzung von Sicherheits- und Arbeitsbereichen.
  
  

Priorisierte Maßnahmen: Technik modernisieren, Prozesse verankern

1. Server & Speicher modernisieren

   • Clusterfähige Virtualisierung mit zentralem Storage (HA, Live-Migration, geordnetes Failover).

   • Abbau veralteter Systeme, klare VM-Lifecycle-Strategie, aktueller Patchstand.

2. Backup-Strategie professionalisieren

   • Alle produktiven Systeme sichern, Offsite/Cloud-Backup etablieren, RTO/RPO definieren.

   • Tägliches Monitoring, regelmäßige Restore-Tests, klare Aufbewahrungszeiträume.

3. Netzwerk & Perimeter härten

   • Regelwerk bereinigen (keine ANY-Regeln), VLAN-Segmentierung durchgängig umsetzen.

   • Core-Redundanz (Switch-Stack), NAC einführen, WLAN trennen (Mitarbeiter/IoT/Gast) und RADIUS/WPA3 nutzen.

4. Endpoint Security vereinheitlichen

   • Entweder Defender for Business konsequent ausrollen oder Sophos XDR durchgängig nutzen.

   • Zentrale Sicht via Security-Konsole; optional MDR/SOC für 24/7-Erkennung & Response.

5. Identitäten & Zugriffe nachschärfen

   • MFA für alle Admins an Servern/Tools, Least Privilege und RBAC umsetzen.

   • Verwaiste Konten bereinigen, lokale Adminrechte entziehen, Kontenlebenszyklus steuern.

6. Cloud & E-Mail absichern

   • M365 Secure Score heben (Conditional Access, Safe Links, Anti-Phishing „Standard/Streng“).

   • SPF auf -all, DMARC von none → quarantine → reject, rechtssichere E-Mail-Archivierung.

7. Physische Sicherheit & Betrieb

   • Technikräume klar trennen, Racks verschließen, USV-Management härten (Passwörter, Alarmierung, Shutdown-Automation).

   • Monitoring von USV/Batterie & regelmäßige Tests.

8. Governance & ISMS-Integration

   • Policies feingliedrig und praxisnah (z. B. „Backup & Recovery“, „Cloud-Nutzung“, „E-Mail-Sicherheit“).

   • Awareness & Schulungen, regelmäßige Soll-Ist-Reviews und kontinuierliche Verbesserung.

   • Schwachstellenmanagement mit Scans, CVSS-Priorisierung und Reporting.

   • IT-Dokumentation konsolidieren (Systeme, Netze, Rechte, Verantwortlichkeiten, Abhängigkeiten).