IT Security Solutions
Am Otterstorfer Berg 50/B4
4600 Thalheim bei Wels
Österreich
Stand: 2026
1. Ziel und Verpflichtung
IT Security Solutions verpflichtet sich zur Umsetzung und kontinuierlichen Verbesserung eines Informationssicherheits-Managementsystems (ISMS) gemäß ISO/IEC 27001:2022.
Ziel ist der Schutz der Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität und Nachvollziehbarkeit aller Informationswerte.
2. Geltungsbereich
Diese Richtlinie gilt für:
- Geschäftsführung
- Mitarbeiter
- Externe Dienstleister
- Partner mit Systemzugang
- Temporäre Benutzer
Sie umfasst sämtliche Informationswerte, IT-Systeme, Netzwerke, Cloud-Dienste und Endgeräte.
3. Grundprinzipien der Informationssicherheit
3.1 Need-to-Know
Zugriff auf Informationen erfolgt ausschließlich bei dienstlicher Erforderlichkeit.
3.2 Least Privilege
Benutzer erhalten nur minimal notwendige Berechtigungen.
3.3 Defense-in-Depth
Mehrstufige Sicherheitsmechanismen werden angewendet.
4. Rollen und Verantwortlichkeiten
4.1 Geschäftsführung
- Gesamtverantwortung für Informationssicherheit
- Bereitstellung notwendiger Ressourcen
4.2 IT-/Sicherheitsverantwortlicher
- Risikomanagement
- Umsetzung technischer Maßnahmen
- Überwachung der Sicherheitskontrollen
4.3 Benutzer
- Einhaltung dieser Richtlinie
- Meldung von Sicherheitsvorfällen
5. Zugriffskontrolle (Annex A.5 & A.9)
- Personenbezogene Benutzerkonten sind verpflichtend.
- Passwortweitergabe ist untersagt.
- Mehrfaktor-Authentifizierung (MFA) ist verpflichtend für VPN, Cloud-Dienste und administrative Zugänge.
- Berechtigungen werden regelmäßig überprüft.
- Zugriffsrechte werden bei Austritt unverzüglich entzogen.
6. Authentifizierungsanforderungen
- Mindestens 12 Zeichen
- Komplexitätsanforderungen
- Keine Wiederverwendung
- Administrative Tätigkeiten werden protokolliert
7. Asset Management (Annex A.5.9)
- Alle Informationswerte sind inventarisiert.
- Geräte sind eindeutig zugeordnet.
- Kritische Assets sind besonders geschützt.
8. Endgerätesicherheit und Schutz vor Malware (Annex A.8)
8.1 Allgemeine Anforderungen
- Festplattenverschlüsselung ist verpflichtend.
- Automatische Bildschirmsperre nach maximal 5 Minuten.
- Sicherheitsupdates sind unverzüglich einzuspielen.
8.2 Verpflichtende Antivirensoftware
- Auf allen Servern, Clients und mobilen Geräten ist eine freigegebene Antivirensoftware verpflichtend installiert.
- Echtzeitschutz ist aktiviert.
- Automatische Updates sind aktiviert.
- Regelmäßige Systemscans sind konfiguriert.
- Deaktivierung ist untersagt.
- Erkannte Malware ist sofort zu melden.
8.3 Schutzmaßnahmen gegen Schadsoftware
- Installation nicht freigegebener Software ist untersagt.
- Externe Datenträger sind vor Nutzung zu prüfen.
- Unbekannte E-Mail-Anhänge dürfen nicht geöffnet werden.
9. Mobile Arbeit und Remote Access (Annex A.6 & A.13)
- VPN ist verpflichtend.
- Öffentliche WLAN-Netze nur mit zusätzlicher Absicherung.
- Schutz vor Einsicht Dritter im Homeoffice.
10. Kryptographische Maßnahmen (Annex A.8.24)
- Verschlüsselte Speicherung sensibler Daten.
- E-Mail-Verschlüsselung bei vertraulichen Informationen.
- Kontrolliertes Schlüsselmanagement.
11. Netzwerksicherheit (Annex A.13)
- Einsatz von Firewalls.
- Netzwerksegmentierung.
- Technische Absicherung gegen unbefugte Zugriffe.
12. Protokollierung und Monitoring (Annex A.8.15)
- Sicherheitsrelevante Ereignisse werden protokolliert.
- Logs werden regelmäßig überprüft.
- Manipulation von Logdaten ist untersagt.
13. Umgang mit Sicherheitsvorfällen (Annex A.5.24)
- Malware-Verdacht
- Phishing
- Datenverlust
- Unbefugte Zugriffe
Ein formalisierter Incident-Response-Prozess ist implementiert.
14. Datenschutz und Compliance (Annex A.18)
- Einhaltung DSGVO
- Einhaltung gesetzlicher Anforderungen
- Verpflichtende Vertraulichkeitserklärungen
15. Schulung und Sensibilisierung (Annex A.6.3)
- Regelmäßige Sicherheitsschulungen
- Aktive Sensibilisierung
16. Sanktionen
Verstöße können zu Entzug von Zugriffsrechten, disziplinarischen Maßnahmen oder rechtlichen Konsequenzen führen.
17. Kontinuierliche Verbesserung
Diese Richtlinie wird regelmäßig überprüft und angepasst. Informationssicherheit ist ein fortlaufender Prozess.
IT Security Solutions – Informationssicherheit ist Unternehmensgrundsatz.
