Als IT-Dienstleister und zentraler Punkt mit Zugang zu mehreren Kundenumgebungen und sensiblen Systemen, hat Sicherheit bei uns absolut oberste Priorität. Dieses Kapitel ergänzt die IT-Sicherheits­schulung als schriftliche Sensibilisierung zur IT-Sicherheit.

Grundsatz: Bei jedem Vorgang sollte kritisch hinterfragt werden, welche Sicherheits­implikationen entstehen könnten. Würdest Du dieselbe Herangehensweise verantworten, wenn Du in einer versorgungs­kritischen Infrastruktur arbeiten würdest?

Sicherheits­vorfälle können existenz­gefährdend für Kunden und allen damit verbundenen Arbeits­plätzen sein. Daher ist bei jedem Vorgang absolute Vorsicht und kritische Reflexion geboten. Wenn Du dir unsicher bist bei einer E-Mail, Anhang, Link, oder ein mulmiges Gefühl nach einer Aktion hast, sprich es direkt bei einem Senior Engineer Senior Engineers sind in der IT-Sicherheit erfahrene Kollegen, wie Christoph, Martin oder Alfons. an.

Geräte-Sicherheit

Arbeitsgeräte & Verwendung

Bei RAUSYS erhalten alle Mitarbeiter einen neuen Laptop, wenn sie bei RAUSYS anfangen. Wir verwalten für diese dedizierten Arbeitsgeräte Konfigurationen und Sicherheits­einstellungen zentral, um unsere Angriffsfläche möglichst gering zu halten. Dazu zählen unter anderem Geräteverschlüsselung, Browser-Standards, Endpoint Protection und Sicherheits­härtungen.

Lass deine Firmengeräte nie unbeaufsichtigt oder entsperrt zurück, auch wenn es nur ganz kurz ist. Achte bei der Passwort­eingabe auf Sichtschutz. Stecke keine unbekannten USB-Sticks ein. Öffne keine unbekannten Anhänge, Applikationen oder Links, die Du nicht verifizieren kannst. Wenn Du dir unsicher bist, ob eine Datei, ein Anhang oder ein Link sicher ist, lade sie vorher auf VirusTotal zur Prüfung hoch und öffne diese anschließend auf einem Werkstatt-Laptop.

Speichere keine persönlichen Daten auf deinem von RAUSYS zur Verfügung gestellten Arbeitsgeräten und verwende diese nicht für private Zwecke. Verwende für den privaten Gebrauch ein separates, persönliches Gerät. Speichere keine Unternehmens­daten auf persönlichen Plattformen, Computern, Handys, Cloud­speichern, E-Mails oder USB Sticks.

Melde den Diebstahl oder Verlust einer deiner Arbeitsgeräte sofort.

Zugriff auf sensible Systeme & Berechtigungen

Die Sicherheit unserer Geräte ermöglicht es uns, unseren Arbeitscomputern Zugang zu sensiblen Systemen wie unserer Kundendokumentation, -servern und internen VPN zu gewähren.

• Zugriff auf sensible Systeme: Der Zugriff auf jegliche Kundenumgebung oder firmeninterne Struktur inklusive die Installation des VPNs darf ausschließlich auf verwalteten Arbeitsgeräten erfolgen – niemals auf persönlichen oder firmenfremden Geräten.
• Firmeninterne Struktur: Zur firmeninternen Struktur gehören alle Systeme, bei denen Du dich mit deinen Zugangsdaten einloggst. Unter anderem: Confluence, Microsoft 365, RAUSYS FileShare, Zulip, Sophos Connect VPN, … – weitere Details findest Du im Kapitel Interne Systeme
• RAUSYS Zugangsdaten: Speichere dein Passwort, MFA-Informationen, Smartcard-PIN oder andere Zugänge wie API Tokens zu RAUSYS-internen Systemen niemals ab.
• Least Privilege Principle: Wir arbeiten nach dem Prinzip der minimalsten Berechtigungen. So können die Auswirkungen im Falle eines Sicherheitsvorfalls möglichst gering gehalten werden. Das heißt, dass niemand standardmäßig mit priviligierten Berechtigungen Priviligierte Berechtigungen sind am Computer Administrator-Rechte, umfassende Zugriffsrechte auf Netzlaufwerke, Dokumentationen, … arbeitet und dass Kunden­dokumentationen selektiv für Personenkreise freigegeben werden.

Umgang mit sensiblen Daten

Speicherung & Übertragung sensibler Daten

Sensible Daten wie Passwörter, API-Schlüssel, personenbezogene Daten, Dokumentationen oder sonstige Kundendaten unterliegen einem besonderen Schutzbedürfnis.

• Speicherung sensibler Daten: Trotz unserer Sicherheitsmaßnahmen, sollten sensible Daten niemals auf Firmengeräten gespeichert werden. Verwende dafür ausschließlich Confluence.
• Vorbereitung sensibler Daten für die Übertragung: Sollten sensible Daten übertragen werden müssen, verschlüssle diese immer – bspw. als ver­schlüsseltes PDF, ZIP-Archiv 7-Zip kann verschlüsselte Archive mit Passwort-Schutz erstellen oder via VeraCrypt Nur in Ausnahmefällen anzuwenden, falls ZIP-Archiv für den Anwendungsfall nicht abbildbar ist.
• Übertragung sensibler Daten: Übermittle sensible Daten und Entschlüsselungs­passwörter auf einem separaten und sicheren Kanal Daten als FileShare-Link per E-Mail und Passwort per SMS. . Unser FileShare ist für solche Übertragungen vorgesehen, da Freigabe-Links temporär sind und sich per Passwort schützen lassen. Vergiss nicht, alte Datensätze auf dem FileShare periodisch zu sichten und zu löschen
• Verwendung von Datenträgern: Vermeide die Verwendung von USB-Sticks und externen Datenträgern komplett. Unsere Plattformen sollten alle Dateiübertragungen abbilden können. USB-Sticks müssen immer mit BitLocker verschlüsselt sein, unabhängig der darauf gespeicherten Daten.

Passwörter & Schutz externer Systeme

Neben unseren internen Systemen, die zentral über mehrere Mechanismen geschützt sind, ist der Schutz externer Dienste, die wir für die Kundenbetreuung benötigen, genauso wichtig.

Passwort-Management

• Bitwarden: Verwende zur Speicherung deiner Passwörter, mit denen Du dich in deinem Benutzerkontext gegenüber externen Systemen authentifizierst und keine operative Relevanz für Kollegen haben Passwörter Bitwarden. Verwende für kundenspezifische Logins ausschließlich Confluence
• Passwortstärke: Entscheidend für die Stärke von Passwörtern ist nicht die Komplexität, sondern die Länge. Passwörter sollten mindestens 14 Zeichen lang sein und keine naheliegenden Merkmale Zeichenfolgen wie 12345…, "Sommer" / "Winter", Jahreszahlen, Unternehmensnamen etc. enthalten
• Passwort pro Plattform: Nutze den Passwort-Generator im Bitwarden, um für jede Plattform ein einzigartiges, starkes Passwort zu verwenden. Die Verwendung gleicher Passwörter für mehrere Plattformen, oder von Passwörtern aus dem privaten Umfeld sollte vermieden werden
• Unsichere Speicherung: Die Verwendung von Textdateien Inkludiert natürlich auch Excel, Word, verschlüsselte ZIPs, ... , Post-its oder Browser-integrierten Passwort-Managern zur Speicherung von Zugangsdaten ist untersagt

Zwei-Faktor-Authentisierung (MFA)

• MFA immer aktivieren: Aktiviere MFA bei allen Plattformen, die es unterstützen
• Verwendung von MFA-Methoden: Die sichersten FIDO2 Passkeys erlauben die direkte Anmeldung. Verifiziert die Gegenstelle automatisch und ist damit Phishing-resistent. MFA-Methoden lassen sich über deinen YubiKey aktivieren. Verwende zur Speicherung von TOTP 6-stelliger Code, der sich alle 30 Sekunden ändert. Nicht Phishing-resistent. -MFA dein Geschäftstelefon Falls (noch) kein Geschäftstelefon vorhanden, kann die Speicherung auch auf dem YubiKey erfolgen für dich betreffende Logins
• Unternehmensweite Logins: Kundenspezifische Microsoft 365, Domain-Verwaltung und andere externe Plattformen oder unternehmensweite Logins müssen per TOTP gesichert und ausschließlich im RAUSYS 2FA-Gateway hinterlegt werden. Speichere diese MFA-Infos nirgendwo Nicht im Confluence, nicht im Bitwarden, nicht auf deinem Geschäftstelefon oder YubiKey. anders
• Faktoren strikt trennen: Halte die zweiten Faktoren separat zu Passwörtern – speichere keine MFA-Infos oder Passkeys im Bitwarden

Physische Sicherheit & Compliance

Sicherheit bedeutet auch, physischen Zutritt zu verhindern Auch im IT-Sicherheitsgesetz ist der physische Schutz fest verankert und als Teil der IT-Sicherheit definiert. und die gewinnbaren Informationen Externer zu minimieren. Dazu zählt bei uns vor Ort:

Umgang mit Besuchern und Externen

• Kein freier Zugang: Besucher dürfen sich niemals allein oder unbeaufsichtigt in unserem Büro bewegen, und müssen stets begleitet werden
• Ansprechen und Klären: Sprecht unbekannte oder unbegleitete Personen aktiv an, fragt nach ihrem Anliegen und Ansprechpartner
• Anweisungen für Besucher: Weist Besucher klar an, wo sie zu warten haben. Angemeldete Besucher warten vorne im Eingangsbereich, bis ihr Ansprechpartner sie abholt
• Unangemeldete Besucher: Unangemeldete Besucher warten vor der geschlossenen Tür, bis ihr Besuchgrund intern geprüft ist
• Lager schützen: In Anwesenheit von Externen bleibt das Lager stets verschlossen

Zugangssicherheit

• Verschlusssachen: Tresore, Server- und Schlüsselschränke nach jeder Nutzung direkt wieder verschließen
• Fenster und Balkontüren: Geöffnete Fenster und Balkontüren nach Lüften, Verwendung oder zum Schluss der Arbeitszeit schließen
• Abschließende Kontrolle: Zum Feierabend das Lager abschließen, Fenster und Balkontüren prüfen und schließen. Der Letzte prüft diese Punkte nochmal explizit, sollte sich aber darauf verlassen können, dass die Kollegen das schon erledigt haben und schließt die Eingangstür ab

Informationsschutz

• Individuelle Zugangs­sicherheit: Überlasse deinen Account, Zugangsdaten und Arbeitsgeräten keiner anderen Person – ob extern oder intern. Gib deine Zugangs­daten nicht auf unternehmens­fremden Geräten ein
• Clean-Desk-Policy: Lasse sensible Unterlagen nicht offen herumliegen und vernichte diese sofort, wenn sie nicht mehr benötigt werden
• Schutz von Interna: Wir liefern keine Einsicht in interne Prozesse, Verfügbarkeiten von Kollegen, Handynummern oder persönliche Daten
• Vertraulichkeit: Zur Wahrung der Vertraulichkeit und zur Vermeidung von Social Engineering-Attacks bleiben Gespräche über firmeninterne Vorgänge oder spezifische Kunden bitte ausschließlich im Firmengebäude

Kunden-Sicherheit

All diese Sicherheitsmaßnahmen dienen letztlich einem Ziel: dem Schutz unserer Kunden und ihrer IT-Umgebungen. Wir versuchen gleichermaßen für Kunden im besten Sicherheitsinteresse zu agieren.

• Verifizierung von Anpassungen: Hinterfrage und verifiziere Anfragen für sicherheitsrelevante Änderungen in Rücksprache mit der kunden­seitigen Geschäftsführung oder Ansprechpartner immer auf einem zweiten Kanal Bspw. telefonischer Rückruf bei einer bekannten Nummer – für Anpassungen von Berechtigungen, Erstellung neuer Benutzer oder zum Zurücksetzen von Passwörtern. Handle überlegt und lass dich nicht unter Druck setzen
• Vier-Augen-Prinzip: Bei besonders sicherheitskritischen Änderungen ist die Prüfung durch einen Senior System Engineer und schriftliche Bestätigung durch den Kunden erforderlich – wie Anpassungen von Domain Administrator-Benutzern, globalen Microsoft 365-Administratoren oder Zugriffs­einrichtungen für Externe
• Least Privilege Principle: Berechtigungen für Mitarbeiter und neue Benutzer auf die tatsächlich benötigen prüfen und reduzieren. Offboardings ausgeschiedener Benutzer und Berechtiungs­einschränkungen zeitnah ausführen
• Diskretion: Gib keine Daten an Externe weiter, auch nicht bei Suggestivfragen. Wir werben bewusst nicht öffentlich mit Kunden auf unserer Website, um die Angriffsfläche für gezielte Social-Engineering-Angriffe erheblich zu reduzieren

Vorgehen im Zweifelsfall

• Aktiv fragen: Wenn Du dir bei einer E-Mail, einer Datei oder einem Vorgehen unsicher bist, frage intern bei einem erfahrenen Kollegen – Senior Engineer – nach.
• Beweggründe kritisch hinterfragen: Hinterfrage externen Aufforderungen, die Dir komisch vorkommen aktiv und kritisch. Die Motive und die genauen Hintergründe zur Aufforderung sollten logisch sein. Eine E-Mail mehr zur Klarstellung lohnt sich da immer. Lasse dich nicht unter Zeitdruck setzen.
• Unsicher? Link geklickt? Wenn etwas vorgefallen ist und Du im Nachhinein ein mulmiges Gefühl hast, zögere nicht und sag sofort Bescheid – so ermöglichst Du, potentielle Gefahren im Keim zu ersticken. Wende Dich direkt an Christoph oder Alfons.
• Gefahrenadressierung: Unsere Teamkultur lebt davon, frühzeitig offen über unsichere Vorgänge und IT-Sicherheits­bedenken zu sprechen. Melde Auffälligkeiten sofort, damit wir gemeinsam reagieren können. Bitte beachte, dass Du bei grober Fahrlässigkeit, Verschweigung von Vorfällen oder einer unsachgemäßen Behandlung von sensiblen Informationen auch als Privatperson strafrechtlich herangezogen werden kannst.

IT-Sicherheit ist kein Zustand, sondern ein kontinuierlicher Prozess, bei dem jeder Einzelne eine aktive Verantwortung trägt, diesen aufrechtzuerhalten und durch vorausschauendes Verhalten einen Beitrag zum Schutz von RAUSYS und unserer Kunden­umgebungen zu gewährleisten.