Sicherheit, wie sie Unternehmen brauchen

• Das Unternehmen setzt Angriffserkennungs- und Präventionssysteme wie netzwerkbasierte Intrusion Detection/Prevention-Systeme (IDS/IPS) sowie Web Application Firewalls ein.
• Ebenso werden Web Application Firewalls der Schicht 7 verwendet.

• Auf allen Endgeräten (Desktops, Laptops, Smartphones und Tablets) ist Anti-Malware installiert.
• Code-Signierung, Sandboxing und Quarantänefunktionen werden für Smartphones und Tablets eingesetzt.
• EDR/XDR-Technologie wird als Anti-Malware-Agent auf Desktops und Laptops verwendet.
• EDR/XDR wird von einem 24/7 Security Operations Center (SOC) überwacht.
• Anti-Malware wird zentral verwaltet und nur von autorisiertem Personal überwacht.

• Das Unternehmen beschränkt den Zugriff auf seine Daten auf vertrauenswürdige Server und Anwendungen über verschlüsselte Kanäle mit starker Authentifizierung.
• Der Zugriff auf kritische Anwendungen und Daten von Drittanbietern ist ebenfalls auf vertrauenswürdige Geräte beschränkt, unter Verwendung von Verschlüsselung und starker Authentifizierung.
• Multi-Faktor-Authentifizierung (MFA) ist erforderlich, um auf kritische Anwendungen zuzugreifen.
• Berater benötigen ebenfalls vertrauenswürdige Geräte, um auf unsere Anwendungen zuzugreifen.

• Eingehende HTTPS-Verbindungen sind mindestens mit TLS 1.2 verschlüsselt.
• Äquivalente Sicherheitsniveaus gelten für andere verschlüsselte Verbindungen wie IPsec, SSH oder SFTP.
• Asymmetrische Verschlüsselung nutzt RSA (mind. 2048 Bit) oder ECC (z. B. P256).
• Symmetrische Verschlüsselung verwendet AES mit mindestens 256 Bit.
• Endgeräte sind mit vollständiger Festplattenverschlüsselung geschützt.
• Offsite-Datenbank-Backups werden stark verschlüsselt.
• E-Mails sind bei der Übertragung TLS-verschlüsselt.
• Für bestimmte Domains ist TLS-Verschlüsselung zwingend erforderlich.
• Die Merchant API verwendet zusätzlich zu TLS kryptografische Signaturen für Anfragen und Antworten.
• Der Zahlungsdienst verschlüsselt sensitive Daten wie Passwörter oder Challenge-Codes mit asymmetrischer Verschlüsselung pro Sitzung.

• Layer-3-Firewalls unterstützen Access Control Lists (ACLs).
• Layer-3-Firewalls kontrollieren den Datenverkehr zwischen Internet und Organisation.
• Layer-7-Firewalls filtern Datenverkehr zwischen Internet und Dienst.
• Netzwerk-ACLs regeln Kommunikation zwischen Netzwerkstandorten und Clouds.
• System-ACLs regeln Zugriff auf Systeme oder Speicherobjekte.
• Nur autorisierte Mitarbeiter verwalten ACLs.
• ACLs werden regelmäßig überprüft oder bei größeren Änderungen.

• Alle Systeme und Dienste nutzen logischen Zugriffsschutz.
• Zugriffsrechte werden rollenbasiert und mit Genehmigungsprozess vergeben.
• Rechte folgen dem Prinzip der minimalen Berechtigung.
• Regelmäßige Überprüfung der Berechtigungen erfolgt nach Klassifizierung.

• Zentrale Protokollierung ist für alle relevanten Anwendungen eingerichtet.
• Nur autorisierte Mitarbeiter mit Need-to-know-Zugang können Logs einsehen.
• Logsysteme werden durch autorisiertes Personal verwaltet.
• Alarme werden bei verdächtigem Verhalten ausgelöst.

• MDM wird für alle Endgeräte eingesetzt – bei Mitarbeitenden und langfristigen Beratern.
• MDM nutzt bedingten Zugriff und Zwei-Faktor-Authentifizierung.
• MDM steuert erlaubte Apps, Sicherheitsrichtlinien, Betriebssystem- und App-Updates.
• Remote-Sperrung und -Löschung ist möglich.
• MDM wird von autorisiertem Personal verwaltet.

• MFA wird für interne und externe Dienste angewendet.
• Je nach Schutzbedarf:
  1. Hardware-Token
  2. Geräte-Zertifikate
  3. Benutzer-Zertifikate
  4. Software-Token (TOTP)
  5. SMS-MFA

Sicherheitsupdates werden automatisch installiert.

Quellcodeänderungen sind mit GPG digital signiert (privater Schlüssel im persönlichen HSM).

• Ein Schwachstellenmanagementprogramm ist aktiv für interne und externe Systeme.
• Ein Code-Schwachstellenscanner wird verwendet.
• Wöchentliche Bewertungen mit Priorisierung nach Schweregrad.