(IT)-Sicherheitshandlungsleitlinien für Systembetreiber und ... - Audi

Informationstechnik (IT)-Sicherheitshandlungsleitlinien für 

Systembetreiber und Administratoren 

Dokumenthistorie: 

Version Name Org.-Einheit Datum Bemerkung 

1.0 Fröhlich, 

Hafner 

Audi I/GO, 

VW K-GOT 

20.10.2006

IT-Sicherheitshandlungsleitlinien für Systembetreiber und Administratoren Status: Freigegeben 

Inhaltsverzeichnis: 

1. Zweck ........................................................................................................................................................... 3 

2. Kontext ........................................................................................................................................................ 3 

3. Geltungsbereich ......................................................................................................................................... 4 

4. Einstufung und Kontrolle der Werte ........................................................................................................ 4 

5. Personelle Sicherheit ................................................................................................................................. 4 

6. Physische und umgebungsbezogene Sicherheit ..................................................................................... 4 

7. Management der Kommunikation und des Betriebs .............................................................................. 5 

7.1. Betriebsverfahren und –verantwortlichkeiten ......................................................................... 5 

7.1.1. Dokumentierte Betriebsverfahren ........................................................................................... 5 

7.1.2. Kontrolle von Veränderungen................................................................................................... 5 

7.1.3. Verfahren für das Management von Vorfällen ........................................................................ 5 

7.1.4. Pflichtentrennung ..................................................................................................................... 5 

7.1.5. Trennung von Entwicklungs- und Betriebsanlagen ................................................................. 5 

7.1.6. Externe Verwaltung von Geräten ............................................................................................. 6 

7.2. Systemplanung und -abnahme................................................................................................. 6 

7.3. Schutz vor bösartiger Software ................................................................................................ 6 

7.4. Haushaltsorganisation .............................................................................................................. 6 

7.4.1. Back-up von Informationen ...................................................................................................... 6 

7.4.2. Bedienerprotokolle .................................................................................................................... 7 

7.4.3. Fehlerprotokoll .......................................................................................................................... 7 

7.5. Netzwerkmanagement ............................................................................................................. 7 

7.6. Sicherheit von Systemdokumentation ..................................................................................... 7 

7.7. Austausch von Informationen und Software ........................................................................... 7 

8. Zugangskontrolle ....................................................................................................................................... 8 

8.1. Geschäftsanforderungen an die Zugangskontrolle ................................................................. 8 

8.2. Verwaltung der Zugriffsrechte der Benutzer ........................................................................... 8 

8.3. Netzzugriffskontrolle ................................................................................................................ 8 

8.4. Kontrolle des Betriebssystemzugriffs ...................................................................................... 9 

8.5. Zugriffskontrolle für Anwendungen ........................................................................................ 9 

8.6. Überwachung des Systemzugriffs und der Systembenutzung ............................................... 9 

8.7. Mobile Computing ..................................................................................................................... 9 

9. Systementwicklung und –wartung ........................................................................................................... 9 

10. Management des kontinuierlichen Geschäftsbetriebs ......................................................................... 10 

10.1. Aspekte zur Aufrechterhaltung des Geschäftsbetriebs ........................................................ 10 

10.1.1. Prozess für das Management des kontinuierlichen Geschäftsbetriebs ............................... 10 

10.1.2. Aufrechterhaltung des Geschäftsbetriebs und Auswirkungsanalyse ................................... 10 

10.1.3. Verfassen und Implementieren von Plänen zur Aufrechterhaltung des Geschäftsbetriebs 

.................................................................................................................................................. 10 

10.1.4. Rahmen für die Pläne zur Aufrechterhaltung des Geschäftsbetriebs .................................. 11 

10.1.5. Testen, Aufrechterhaltung und erneute Analyse von Plänen zur Gewährleistung des 

kontinuierlichen Geschäftsbetriebs ....................................................................................... 11 

11. Einhaltung der Verpflichtungen ............................................................................................................. 11 

11.1. Einhaltung gesetzlicher Verpflichtungen .............................................................................. 11 

11.2. Überprüfung der Sicherheitspolitik und technischen Normerfüllung ................................. 11 

11.3. Überlegungen zum Systemaudit ............................................................................................ 11 

12. Verantwortlichkeit ................................................................................................................................... 12 

Anhang: ................................................................................................................................................................ 13 

Seite 2 von 14


1. Zweck 

Die für die Nutzung von Informationen und Kommunikationsgeräten (z. B. Personalcomputer, 

Workstations einschließlich mobiler Rechner wie Notebooks, PDAs) zu beachtenden IT- 

Sicherheitsregelungen für Systembetreiber und Administratoren sind in diesen IT- 

Sicherheitshandlungsleitlinien zusammengefasst. Für den Schutz von Speicherprogrammierbaren 

Steuerungen (SPS) und Robotersteuerungen gelten innerhalb dieser Handlungsleitlinien ausschließlich die 

Regelungen im Anhang, Ziff. 1. 

Die IT-Sicherheitsregelungen dienen dem Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von 

Informationen sowie der Wahrung der Rechte und Interessen des Unternehmens und aller natürlichen und 

juristischen Personen, die mit unserer Konzerngesellschaft in geschäftlicher Beziehung stehen bzw. für 

diese arbeiten. 

Die Basis für dieses Dokument stellt die IT-Sicherheitspolitik dar. Die Grundsätze der IT-Sicherheitspolitik 

werden für die Zielgruppe Systembetreiber und Administratoren konkretisiert. Die Struktur dieses 

Dokumentes basiert auf dem internationalen Standard ISO/IEC 17799. 

Dieses Dokument steht über das Intranet zur Verfügung (siehe Anhang, Ziff. 2). 

Die Bekanntgabe von Informationen hinsichtlich Änderungen bzw. Aktualisierungen erfolgen 

ausschließlich über das Intranet (siehe Anhang, Ziff. 2). 

2. Kontext 

Folgende Übersicht zeigt die Einordnung der IT-Sicherheitshandlungsleitlinien in das IT- 

Sicherheitsregelwerk: 

IT-Sicherheitspolitik 

Definition der grundlegenden Ziele, Strategien und 

Verantwortlichkeiten zur Gewährleistung der IT-Sicherheit 

IT-Sicherheitshandlungsleitlinien 

Ausgestaltung der Politik in organisatorische Anweisungen für 

einzelne Benutzergruppen 

IT-Sicherheitsregelungen 

Spezifikation der organisatorischen Standards im 

technischen Umfeld und Beschreibung von technischen 

Funktionen und Prozessen 

Seite 3 von 14 

IT-Sicherheitsregelwerk 

Für alle 

Nur für 

eingeschränkten 

Nutzerkreis


3. Geltungsbereich 

Die Handlungsleitlinien gelten für die AUDI AG und sind im gesamten Audi Konzern anzuwenden und durch 

konkrete IT-Regelungen im Einzelfall auszugestalten. 

4. Einstufung und Kontrolle der Werte 

Betriebsnotwendige IT-Systeme (siehe Anhang, Ziff. 3) sind in einem Verzeichnis zu erfassen. Die 

Systemverantwortung ist einer Organisationseinheit, einem Gremium oder Beauftragten zuzuordnen. 

Als betriebsnotwendig sind IT-Systeme einzustufen, deren Funktionsstörung den Fortbestand des 

Unternehmens ernsthaft gefährden könnte oder deren Wiederherstellung bzw. Wiederbeschaffung einen 

hohen Zeitaufwand und/oder hohe Kosten erfordern würde. Ferner sind Originale von wichtigen Urkunden 

(z. B. Kaufverträge, Versicherungspolicen, Lizenzen) in diese Kategorie einzustufen. 

Dieses Verzeichnis der erfassten IT-Systeme hat mindestens die folgenden Angaben zu enthalten: 

Beschreibung der IT-Systeme einschließlich ihrer Schnittstellen zu anderen IT-Systemen, 

Verantwortliche Stelle oder Person, 

Bedeutung der IT-Systeme für die Geschäftsprozesse, 

Einsatzort (physisch), 

Einsatzbereich (fachlich), 

Klassifizierung der Daten und ggf. Hinweise auf besondere Schutzerfordernisse und -maßnahmen, 

Vorhandensein personenbezogener Daten. 

5. Personelle Sicherheit 

Nach der Bearbeitung von IT-Sicherheitsvorfällen, IT-Sicherheitsschwachstellen oder ITsicherheitsrelevanten 

Funktionsstörungen sind Erkenntnisse über mögliche Auswirkungen auf andere 

Geschäftsprozesse oder Sicherheitsmaßnahmen an den Vorgesetzten und an die IT-Sicherheitsorganisation 

(siehe Anhang, Ziff. 4) zu melden. 

Sind diese Vorfälle gravierend oder treten sie öfter auf, so sind sie im Rahmen der Qualitätssicherung 

kontinuierlich zu prüfen, um ihre Entstehung in Zukunft möglichst zu verhindern und den Umgang mit 

diesen Ereignissen zu verbessern. 

6. Physische und umgebungsbezogene Sicherheit 

Betriebsnotwendige IT-Systeme sind vor Stromausfall oder –schwankungen zu schützen (z. B. durch 

unterbrechungsfreie Stromversorgung, durch Notstromaggregat). 

Unmittelbar nach der Installation einer Daten- und Stromnetzkomponente sind vorhandene 

systemspezifische Schutzmechanismen (z. B. Passwortschutz) zu aktivieren, um unzulässige 

Manipulationen zu verhindern oder zumindest möglichst frühzeitig erkennen zu können. 

Der Betreiber hat u. a. durch Wartung der Geräte sicherzustellen, dass die Verfügbarkeit, Vertraulichkeit 

und Integrität von Daten gewährleistet ist. 

Vor der Entsorgung oder Wiederverwendung von Geräten sind alle darauf enthaltenen Informationen 

nachhaltig zu löschen. 

Seite 4 von 14


7. Management der Kommunikation und des Betriebs 

7.1. Betriebsverfahren und –verantwortlichkeiten 

7.1.1. Dokumentierte Betriebsverfahren 

Anweisungen, die für den Betrieb eines IT-Systems zu berücksichtigen sind, sind vom Betreiber zu erstellen 

und aktuell zu halten, z. B. in Form von Betriebshandbüchern. Bei Veröffentlichungen ist darauf zu achten, 

dass keine sicherheitsrelevanten Fakten (z. B. Firewallkonfiguration) an unberechtigte Dritte bekannt 

gemacht werden. Die Dokumentation ist gemäß gesellschaftsspezifischer Regelungen (siehe Anhang, Ziff. 

5) zu archivieren. 

7.1.2. Kontrolle von Veränderungen 

Änderungen an produktiven IT-Systemen müssen über ein definiertes Verfahren geplant, getestet, 

genehmigt und dokumentiert werden, bevor sie im produktiven Betrieb umgesetzt werden. 

Änderungsabsichten (change requests) sind schriftlich zu dokumentieren und von der verantwortlichen 

Stelle (z. B. Änderungen an Anwendungssytemen durch den Informationseigentümer, Änderungen an der 

Infrastruktur durch den Betreiber) zu genehmigen. 

Die Auswirkungen der geplanten Änderungen sind an einem Testsystem zu untersuchen. Das Testsystem ist 

in Abwägung des potentiellen Risikos mit dem dafür erforderlichen Aufwand aufzubauen. Im Notfall kann 

vom Betreiber ein beschleunigtes Verfahren im IT-Notfallplan (siehe Kapitel 10) definiert werden. Dabei ist 

sicherzustellen, dass durch die Änderungen keine Sicherheitsmaßnahmen unterlaufen werden. 

Das Sicherheitsniveau muss während und nach der Änderung erhalten bleiben. Wenn Risiken nicht 

ausgeschlossen werden können, hat die Planung auch eine Rückfalllösung vorzusehen und Kriterien 

vorzugeben, wann diese zum Tragen kommen soll. 

Änderungen am IT-System sind zu protokollieren. Bei einer fehlgeschlagenen Änderung ist das IT-System 

möglichst in den ursprünglichen Zustand zu versetzen. Vor einer neuen Durchführung ist die Ursache 

festzustellen. 

Sofern Änderungen an produktiven Daten nicht über das Anwendungssystem gemacht werden können, sind 

auch diese Änderungen zu protokollieren. 

Alle von den Änderungen betroffenen Personen sind rechtzeitig zu informieren. 

7.1.3. Verfahren für das Management von Vorfällen 

Um bei IT-Sicherheitsvorfällen rasch und effektiv reagieren zu können, ist es notwendig, dass der 

Systembetreiber Verfahren, d. h. Anweisungen, Maßnahmen, eingesetzte Mittel etc., zur Behandlung von 

Vorfällen erarbeitet, umsetzt und aktuell hält. 

7.1.4. Pflichtentrennung 

Ausführende (z. B. Programmierung, Entwicklung) und kontrollierende (z. B. Audit, Abnahme) Tätigkeiten 

sind personell voneinander zu trennen. 

Zudem sind Tätigkeiten dann zu trennen, wenn ohne eine Trennung ein erhöhtes Risiko einer willentlichen 

oder unwissentlichen Fehlhandhabung zu Lasten des Konzerns besteht (Vier-Augen-Prinzip). 

Vor der Einführung von Software sind die Verantwortlichkeiten zu regeln (z. B. für die Erstellung von 

Pflichtenheften, die Produktvorauswahl, das Testen, das Freigeben, die Installation und den Betrieb). 

7.1.5. Trennung von Entwicklungs- und Betriebsanlagen 

Entwicklungs-, Testsoftware und Software im laufenden Betrieb müssen auf unterschiedlichen IT- 

Systemen und/oder Netzbereichen laufen. 

Seite 5 von 14


Um Fehlbedienungen zu verhindern, sind Entwicklungs-, Test- und Produktivsysteme z. B. durch 

unterschiedliche Benutzerkennungen oder Anmeldeverfahren zu sichern. 

Entwicklungs-/Testpersonal darf nur einen zur Durchführung der erforderlichen Arbeit eingeschränkten 

oder zeitlich begrenzten Zugriff auf Produktivumgebungen erhalten. 

7.1.6. Externe Verwaltung von Geräten 

Vor einer Betreuung und Verwaltung von IT-Systemen durch Fremdpersonal ist folgendes zu prüfen und 

durchzuführen: 

Genehmigungen der für Anwendung/Prozess zuständigen Personen sind einzuholen. 

Verantwortlichkeiten und Verfahren für die Meldung und Behandlung von IT-Sicherheitsvorfällen 

sind festzulegen. 

IT-Notfallpläne sind neu zu bewerten und anzupassen (siehe Kapitel 10.1.5). 

7.2. Systemplanung und -abnahme 

Systemplaner sowie Betreiber von IT-Systemen/-Netzen haben bereits bei der Planung der Kapazitäten die 

Anforderungen des späteren Betriebes zu berücksichtigen. 

Die Sicherheitsanforderungen an ein IT-System sind mit den Benutzern/Benutzervertretern während der 

Planung zu definieren und zu dokumentieren. 

Der Systembetreiber hat unter Berücksichtigung des geltenden IT-Sicherheitsregelwerkes zusammen mit 

den Benutzern/Benutzervertretern die zu erreichende IT-Sicherheit des IT-Systems zu planen. Dabei ist ein 

Sollzustand des IT-Systems festzulegen. Der Istzustand ist nach Realisierung des IT-Systems zu prüfen und 

freizugeben. 

Die Systemplanung (Fachkonzeption, Systemdesign, Systemrealisierung) und -abnahme 

(Systemeinführung) ist mittels des Systementwicklungsprozesses (SEP) durchzuführen. 

7.3. Schutz vor bösartiger Software 

Kommunikationsgeräte, die von Schadsoftware befallen sind, sind unter Berücksichtigung möglicher 

Auswirkungen (z. B. Produktionsstillstand) vom internen Netzwerk zu trennen. 

Von den zuständigen Stellen (siehe Anhang, Ziff. 6) freigegebene Virensoftware ist auf jedem 

Kommunikationsgerät zu installieren. Die entsprechenden Virensignaturen sind regelmäßig zu 

aktualisieren. 

Die durch die zuständigen Stellen (siehe Anhang, Ziff. 7) freigegebenen Sicherheitspatche müssen zeitnah 

installiert werden. 

Vom Systembetreiber sind geeignete Netzübergangskomponenten (z. B. Intrusion Prevention System) 

einzusetzen, um das Firmennetz vor Schadsoftware und einer Verbreitung derselben im Netzwerk zu 

schützen. 

7.4. Haushaltsorganisation 

7.4.1. Back-up von Informationen 

Alle Verantwortlichen für IT-Systeme, Applikationen oder Datenbanken haben sicherzustellen, dass eine 

ausreichende Sicherung der Daten durch die zuständigen Stellen erfolgt. 

Sicherungsverfahren sind zu planen, zu überwachen und zu dokumentieren. 

Sicherungsdatenträger unterliegen den gleichen Sicherheitsanforderungen wie die Original-Daten (z. B. 

Schutz gegen Diebstahl und unbefugten Zugriff). Sie sind getrennt vom IT-System aufzubewahren, um bei 

einer Beschädigung oder Zerstörung des IT-Systems und seiner unmittelbaren Umgebung unversehrt zu 

bleiben. 

Seite 6 von 14


Vor Ablauf der technologieabhängigen Lebensdauer des jeweiligen Datenträgers sind die Daten auf neue 

Datenträger zu überspielen. Es ist dabei sicherzustellen, dass die erforderliche Hardware und Software zum 

Lesen und Beschreiben der Datenträger über die gesamte Aufbewahrungsdauer der Daten vorhanden ist. 

Bei der Archivierung von Daten sind firmeninterne und gesetzliche Aufbewahrungsfristen einzuhalten. Die 

Lesbarkeit von archivierten Datenträgern ist in angemessenen Zeitabständen zu überprüfen. 

7.4.2. Bedienerprotokolle 

Die Tätigkeiten der Systembetreiber an IT-Systemen mit vertraulichen und/oder geheimen Informationen 

sind zu protokollieren. 

Die Protokolle haben mindestens Folgendes zu enthalten: 

eine eindeutige Identifikation der protokollierten Person (z. B. Name oder Kennung), 

Beginn und Beendigung der Tätigkeit am IT-System, 

aufgetretene Systemfehler, 

durchgeführte Maßnahmen. 

Protokollauswertungen haben regelmäßig im Rahmen von Audits und bei Verdacht auf IT- 

Sicherheitsvorfälle zu erfolgen. 

7.4.3. Fehlerprotokoll 

Von Benutzern gemeldete Fehler und Fehlfunktionen sind zu protokollieren. 

Die vom Betreiber veranlassten Maßnahmen zur Fehlerbehebung müssen technisch korrekt und von 

berechtigtem Personal durchgeführt werden. 

7.5. Netzwerkmanagement 

Der sichere Betrieb von IT-System/-Netzen ist vom jeweiligen Betreiber zu gewährleisten. 

Das Sicherheitsniveau der Kommunikations- und der Netzwerkressourcen ist der Gefährdung und der 

Sensibilität der zu übertragenden Daten anzupassen. 

7.6. Sicherheit von Systemdokumentation 

Der Zugriff auf schützenswerte Systemdokumentation ist auf die Personen zu beschränken, die diese 

Informationen zur Erfüllung ihrer definierten Arbeitsumfänge benötigen. 

7.7. Austausch von Informationen und Software 

Der Systembetreiber ist für die Zuverlässigkeit von Kommunikationsdiensten (z. B. E-Mail, ftp) 

verantwortlich. Bei den E-Maildiensten ist folgendes zu beachten: 

Bei der Vergabe von E-Mail Adressen ist auf Eindeutigkeit zu achten. 

Gruppen-E-Mail Adressen dürfen nur für den E-Mail-Empfang verwendet werden. 

Postfächer sind gegen Zugriffe Unbefugter zu schützen. 

Für nicht zustellbare E-Mail Nachrichten erfolgt eine automatische Rückmeldung. 

Öffentlich zugängliche IT-Systeme sind für alle (z. B. Mitarbeiter, Kunden, Geschäftspartner, Medien) frei 

zugänglich und zur Nutzung verfügbar. 

Informationen, die in das öffentlich zugängliche IT-System eingegeben und dort verarbeitet werden, sind 

vollständig, korrekt und zügig zu verarbeiten. Sie sind während des Bearbeitungsprozesses und bei der 

Speicherung zu schützen. 

Öffentlich zugängliche IT-Systeme dürfen nur über sichere Netzübergangskomponenten Zugang zu 

internen Netzen haben. 

Seite 7 von 14


8. Zugangskontrolle 

8.1. Geschäftsanforderungen an die Zugangskontrolle 

Der Zugriff auf nicht öffentliche Informationen darf nur authentisiert und autorisiert erfolgen. 

Der Informationseigentümer hat sicherzustellen, dass die Zugriffsrechte der Anwender und -gruppen auf 

die Ihnen zugewiesenen Ressourcen für jedes IT-System geregelt sind. 

Nicht benötigte Daten, Dienste und Benutzerkennungen sind durch den Systembetreiber zu löschen bzw. 

gezielt zu sperren. 

Administratorkennungen dürfen nur zu administrativen Aufgaben genutzt werden. Routinetätigkeiten, die 

kein Administrationsrecht erfordern, sind mit Benutzerkennungen mit eingeschränkten Rechten 

durchzuführen. 

8.2. Verwaltung der Zugriffsrechte der Benutzer 

Die Beantragung einer Zugangs-/Zugriffsberechtigung für ein internes IT-System erfolgt entsprechend 

gesellschaftsspezifischer Regelungen (siehe Anhang, Ziff. 8). 

Es ist vom Systembetreiber sicherzustellen, dass dieselbe Kennung nicht an verschiedene Benutzer 

vergeben wird. 

Für Gruppen von Benutzern mit ähnlichen Aufgaben sind Rollen zu definieren und in Systemen 

umzusetzen, soweit dies technisch möglich ist. Diesen Rollen sind standardmäßig Kategorien von 

Zugriffsrechten zuzuordnen. 

Ein Benutzer erhält die Rechte, die seiner Rolle zugeordnet sind. 

Der Systembetreiber hat eine Übersicht über die zugelassenen Benutzer, Benutzergruppen und 

Rechteprofile zu führen. 

Es sind Verfahren für die Vergabe und die Rücksetzung von Passwörtern festzulegen und zu 

veröffentlichen. 

Einem Ausprobieren von Benutzerkennungen und Passwörtern ist durch geeignete Maßnahmen zu 

begegnen (z. B. Verlängerung der Wartezeit nach jedem Fehlversuch und/oder eine Sperrung nach einer 

definierten Anzahl von Fehlversuchen). 

Die Dokumentation der zugelassenen Benutzer und Rechteprofile ist regelmäßig darauf zu überprüfen, ob 

sie den tatsächlichen Stand der Rechtevergabe widerspiegelt und ob die Rechtevergabe noch den 

Sicherheitsanforderungen und den aktuellen Aufgaben der Benutzer entspricht. 

8.3. Netzzugriffskontrolle 

Nur authentisierte und autorisierte Benutzer dürfen Zugang zum internen Konzernnetzwerk erhalten. 

Der Systemzugang für externe Verbindungen ist mindestens mittels "Wissen und Besitz" zu schützen (z. B. 

SecurID-Karte: dort ist „Wissen“ die Kenntnis der PIN-Nummer und „Besitz“ das Haben der Karte selber). 

Zum Schutz vor unberechtigten und ungewollten Verbindungen sind Rückrufverfahren und –maßnahmen 

einzusetzen (z. B. die Verwendung von Rückruf-Modems). 

Die Anbindung eines externen Geschäftspartners darf erst nach unterschriebener Geschäfts- und 

Geheimhaltungsvereinbarung erfolgen. 

Nicht benötigte Dienste sind von den zuständigen Stellen abzuschalten. 

Seite 8 von 14


8.4. Kontrolle des Betriebssystemzugriffs 

Das Netzwerk ist auf nicht autorisierte Endgeräte zu prüfen. 

IT-Systeme, die den Zugang Unbefugter ungehindert zulassen, dürfen nicht eingesetzt werden, sondern 

sind durch geeignete IT-Systeme zu ersetzen, durch geeignete Maßnahmen zu schützen oder durch 

entsprechende Zusatzsoftware oder –hardware nachzurüsten. 

Pflicht der Systemverantwortlichen ist es, ein sicheres Anmeldeverfahren umzusetzen. Dazu sind folgende 

Vorgaben zu erfüllen: 

Bei falscher Eingabe bei der Anmeldung darf das IT-System nicht anzeigen, welcher Teil der Daten 

fehlerhaft war. 

Erfolglose Versuche sind aufzuzeichnen. 

Die für das Anmeldeverfahren erlaubte maximale Zeit ist zu begrenzen. Bei Überschreitung hat das 

IT-System die Anmeldung abzubrechen. 

Allen Benutzern ist eine eindeutige Benutzerkennung für ihren persönlichen und alleinigen Gebrauch 

zuzuweisen, damit Aktivitäten auf die verantwortliche Einzelperson zurückgeführt werden können. 

Die Benutzerkennungen dürfen, soweit technisch möglich, keinerlei Auskunft über die Zugriffsrechte des 

Benutzers geben. 

Die Systemverantwortlichen haben die Mindestforderungen bei der Passwortfestlegung (siehe „IT- 

Sicherheitshandlungsleitlinien für Mitarbeiterinnen und Mitarbeiter“) durch entsprechende 

Systemumsetzungen zu unterstützen. 

Dialogsitzungen, die über einen längeren Zeitraum nicht mehr aktiv benutzt werden, sind zu deaktivieren 

oder durch geeignete Maßnahmen zu schützen. 

8.5. Zugriffskontrolle für Anwendungen 

Vom Administrator ist sicherzustellen, dass der Anwender innerhalb der Anwendung nur Zugriff auf die für 

ihn freigegebenen Informationen erhält. 

8.6. Überwachung des Systemzugriffs und der Systembenutzung 

IT-Sicherheitsvorfälle sind zu dokumentieren. 

Bei der Passwortvergabe/-änderung ist zu überprüfen, ob Passwörter gemäß den Passwortregeln gebildet 

werden. 

8.7. Mobile Computing 

Mobiles Arbeiten im Netz außerhalb des Konzernnetzwerkes mit einem tragbaren Computer erfordert eine 

sichere Remote Anbindung. Die Identifikation und Authentisierung erfolgt mittels „Wissen und Besitz“. Die 

Datenübertragung ist mit einer sicheren Verschlüsselung zu schützen. 

9. Systementwicklung und –wartung 

Die Installation von Software darf nur von autorisierten Personen (siehe Anhang, Ziff. 9) durchgeführt 

werden. 

Neue oder geänderte Programme für Produktivsysteme dürfen nur nach erfolgreichen Tests sowie nach 

Freigabe durch Informationseigentümer und Systembetreiber eingesetzt werden. Die Versions- 

/Korrekturstände der eingesetzten Software sind zu dokumentieren und gemäß gesellschaftsspezifischer 

Regelungen (siehe Anhang, Ziff. 10) zu archivieren. 

Beim Zugriff auf Testdaten ist der Grundsatz „Kenntnis, nur wenn nötig“ zu beachten. 

Der Test von Software ist nur in der dafür vorgesehenen Testumgebung zulässig. Dabei ist sicherzustellen, 

dass der produktive Betrieb nicht in Mitleidenschaft gezogen wird. 

Seite 9 von 14


Personenbezogene, vertrauliche oder geheime Daten sind vor der Übernahme von produktiven IT-Systemen 

in die Testsysteme so zu verfälschen, dass ein Rückschluss auf die Original-Daten nicht mehr möglich ist, 

sofern auf diese Daten Personen Zugriff erhalten, die diese nicht unbedingt für die Erfüllung ihrer 

vertragsgegenständlichen Arbeiten benötigen. 

Das Kopieren oder die Nutzung von Informationen aus laufenden IT-Systemen ist nur nach vorheriger 

Genehmigung durch den Informationseigentümer zulässig. Die kopierten Daten unterliegen den gleichen 

IT-Sicherheitsanforderungen wie die Original-Daten. 

Benutzte Informationen aus laufenden IT-Systemen sind nach Durchführung des Tests nicht 

wiederherstellbar zu löschen. 

Zugriffsberechtigungen, die für laufende IT-Systeme gelten, müssen auch für Testanwendungen beachtet 

werden. 

Sicherheitsupdates von Software-Herstellern sind zeitnah einzuspielen. 

Die Sicherheit von Anwendungen darf durch den Einsatz von Administrationswerkzeugen und –protokollen 

nicht gefährdet werden. 

Vor der Installation neuer Softwareversionen oder Patches ist durch Tests sicherzustellen, dass weder der 

Betrieb noch die Sicherheit durch die Änderungen gefährdet sind. 

Bei Änderungen sind die betroffenen Beschreibungen der Benutzerverfahren und der 

Betriebsdokumentation anzupassen. 

Wenn Änderungen an gekauften Softwarepaketen durchgeführt werden, sind die Auswirkungen auf 

bestehende Regelungen und Sicherheitsmaßnahmen zu klären. Änderungen dürfen nur erfolgen, wenn dies 

lizenzrechtlich und aufgrund der Wartungsverträge zulässig ist. 

10. Management des kontinuierlichen Geschäftsbetriebs 

10.1. Aspekte zur Aufrechterhaltung des Geschäftsbetriebs 

Unvorhergesehene oder unerwartete Ereignisse, die einen Ausfall von IT-Systemen über eine nicht 

tolerierbare Zeit und einen Schaden für Geschäftsprozesse zur Folge haben, werden im Folgenden 

einheitlich als IT-Notfall bezeichnet. 

10.1.1. Prozess für das Management des kontinuierlichen Geschäftsbetriebs 

Zur Aufrechterhaltung des kontinuierlichen IT-Geschäftsbetriebs hat der Systembetreiber organisatorische 

Maßnahmen/Prozesse für das Management aufzubauen, um kritische IT-Geschäftsprozesse zu 

identifizieren und zu bewerten. 

10.1.2. Aufrechterhaltung des Geschäftsbetriebs und Auswirkungsanalyse 

Eine Organisationseinheit oder das Gesamtunternehmen darf durch den Eintritt eines unerwarteten IT- 

Ereignisses (z. B. Ausfall) nicht handlungs- oder geschäftsunfähig werden. 

Um dieses zu erreichen, sind zum einen vorsorgliche Maßnahmen erforderlich, damit ein unerwartetes IT- 

Ereignis keinen Notfall zur Folge hat. Zum anderen sind Maßnahmen zu bestimmen, die bei Eintritt des IT- 

Notfalls durchzuführen sind. 

Die IT-Notfallvorsorge muss sich an den Anforderungen der Geschäftsprozesse, die beim Ausfall von IT 

entstehen, orientieren. Mit Hilfe von Risikoanalysen sind mögliche Schadensfälle bezüglich der 

Eintrittswahrscheinlichkeit und der Schadenshöhe zu bewerten. Bei der Bewertung von Notfallschäden ist 

die Anzahl der betroffenen Anwender zu berücksichtigen sowie die geschäftliche Bedeutung der IT für 

Geschäftsprozesse. 

10.1.3. Verfassen und Implementieren von Plänen zur Aufrechterhaltung des Geschäftsbetriebs 

Das notwendige Niveau der Dienstleistung und die maximal zu akzeptierenden Ausfallzeiten von 

geschäftskritischen informationsverarbeitenden IT-Systemen sind zu definieren und zu dokumentieren. 

Seite 10 von 14


Der IT-Notfallplan regelt das Vorgehen im IT-Notfall. Er enthält in komprimierter Form alle 

entscheidungsrelevanten Angaben, um im IT-Notfall die notwendigen Schritte einzuleiten. 

10.1.4. Rahmen für die Pläne zur Aufrechterhaltung des Geschäftsbetriebs 

Mit Hilfe des IT-Notfallplans muss schnell entschieden werden können, welche Maßnahmen 

durch welche Verantwortliche als erstes bzw. in welcher Reihenfolge durchzuführen sind. 

Die für IT-Notfallmaßnahmen verantwortlichen Mitarbeiter sowie ihre Vertreter sind namentlich und als 

Funktion im IT-Notfallplan anzugeben und ihre Erreichbarkeit ist sicherzustellen. Alle Personen, die über 

den IT-Notfall zu informieren sind, sind festzulegen. 

10.1.5. Testen, Aufrechterhaltung und erneute Analyse von Plänen zur Gewährleistung des 

kontinuierlichen Geschäftsbetriebs 

Die Sicherstellung des kontinuierlichen Geschäftsbetriebes wird mit folgenden Maßnahmen und Techniken 

von den Systembetreibern überprüft: 

Planspiele von IT-Notfallszenarien, 

Simulationen zur Schulung des Personals auf ihre Rollen im Krisenmanagement, 

Technische Tests zur Wiederherstellung von Informationssystemen, 

Test der Wiederherstellung des Betriebs an einem Ausweichstandort, 

Prüfen der Vertragserfüllung von ihren externen Dienstleistern, 

Regelmäßige IT-Notfallübungen. 

11. Einhaltung der Verpflichtungen 

11.1. Einhaltung gesetzlicher Verpflichtungen 

Beim Einsatz von Verschlüsselung und/oder von elektronischen Signaturen (siehe Anhang, Ziff. 11) 

insbesondere über Ländergrenzen hinweg sind die länderspezifischen Regelungen für den 

Import/Export/Zugriff von bzw. auf Hardware/Software/Informationen zu beachten. 

Bei Fragen zu den länderspezifischen Regelungen sind die zuständigen Stellen (siehe Anhang, Ziff. 12) zu 

kontaktieren. 

11.2. Überprüfung der Sicherheitspolitik und technischen Normerfüllung 

Jeder Betreiber von IT-Systemen hat seine IT-Systeme stichprobenartig auf die Einhaltung der 

sicherheitsrelevanten Vorschriften und Richtlinien zu überprüfen. 

Mechanismen und Tools zur Systemüberwachung (z. B. die Auditfunktion der Betriebs-systeme) sind 

einzurichten und zu nutzen. Dafür vorgeschriebene Genehmigungsverfahren sind zu beachten (siehe 

Anhang, Ziff. 13). 

Die Betreiber von IT-Systemen sind verpflichtet, bekannt gewordene Sicherheitslücken der IT-Systeme 

durch geeignete Maßnahmen zu schließen. 

11.3. Überlegungen zum Systemaudit 

Auditanforderungen/–aktivitäten sind sorgfältig zu planen (insbesondere für Produktiv-systeme), um das 

Risiko von Störungen der Geschäftsprozesse zu minimieren. 

Folgende Punkte sind zu beachten: 

Der Anwendungsbereich der Prüfungen ist zu vereinbaren und zu kontrollieren. 

Die Prüfungen sind auf nur lesenden Zugriff für Software und Daten zu begrenzen. 

IT-Ressourcen sind für die Prüfungen zu identifizieren und verfügbar zu machen. 

Sämtliche Verfahren, Anforderungen und Zuständigkeiten sind zu dokumentieren. 

Um einen Missbrauch oder die Kompromittierung des Audittools zu verhindern, darf der Zugriff auf 

Systemaudittools nur für autorisiertes Personal erlaubt werden. 

Das uneingeschränkte Prüfungsrecht der internen Revision ist hiervon nicht betroffen. 

Seite 11 von 14


12. Verantwortlichkeit 

Diese Handlungsleitlinien sind von allen Systembetreibern und Administratoren anzuwenden und 

einzuhalten. 

Verstöße gegen die Handlungsleitlinien werden individuell nach geltenden betrieblichen und gesetzlichen 

Vorschriften und Vereinbarungen geprüft und entsprechend geahndet. 

Abweichungen von diesen Handlungsleitlinien, die das Sicherheitsniveau senken, sind nur in Abstimmung 

mit den zuständigen Stellen (siehe Anhang, Ziff. 14) und nur zeitlich begrenzt zulässig. 

Seite 12 von 14


Anhang: 

Gültigkeit: 

Diese Regelungen sind für den Betrieb und die Administration von neuen IT-Systemen mit der 

Veröffentlichung sofort bindend. 

Für bestehende Systeme und Prozesse ist vom Systembetreiber ein Migrationskonzept zu erarbeiten, um 

diese entsprechend anzupassen. Die Migration muss bis zum 31.12.2006 abgeschlossen sein. 

Ziffer 

1. 

Speicherprogrammierbare Steuerungen (SPS) und Robotersteuerungen sind in verschließbaren Schränken 

aufzubewahren oder durch entsprechende anderweitige geeignete Maßnahmen zu sichern. Der Zugang ist 

nur Berechtigten zu ermöglichen. 

Speicherprogrammierbare Steuerungen (SPS) und Robotersteuerungen sind in Netzen zu betreiben, in 

denen nur die Kommunikation erlaubt ist, die für den Betrieb unbedingt erforderlich ist. 

2. 

Die jeweils aktuellen Informationen werden im Audi mynet veröffentlicht. 

3. 

Ein IT-System ist ein Gesamtsystem bestehend aus sämtlichen HW/SW-Komponenten inklusive deren 

Kommunikationsbeziehungen untereinander. 

4. 

Die IT-Sicherheitsorganisation besteht aus dem Informations- und Datenschutz, dem IT-Sicherheitsteam, 

der Expertengruppe IT-Sicherheit, den Competence Centern im Kontext der IT-Sicherheitsorganisation und 

den IT-Sicherheitsbeauftragten in den Fachbereichen. 

5. 

Die Dokumentation ist in Abhängigkeit von gesetzlichen Anforderungen und Fachbereichsanforderungen zu 

archivieren. So ist z. B. jegliche Dokumentation, die auch indirekt mit der Rechnungslegung zu tun hat, laut 

den „Grundsätzen ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS)“ während der Lebenszeit 

des Systems und danach 10 Jahre zu archivieren. 

6. 

Die Freigabe von Virenschutzsoftware erfolgt durch das Viren Competence Center (VCC). 

7. 

Verantwortlichkeit: I/FP. 

8. 

Die Beantragung einer Zugangs-/Zugriffsberechtigung für ein internes IT-System erfolgt schriftlich mit 

dem Benutzerantrag. Alle Personen, die zur Benutzung eines Systems oder einer Applikation berechtigt 

sind, sind formal zu erfassen. 

9. 

Verantwortlichkeit: Systemadministratoren, Mitarbeiter mit administrativen Rechten. 

10. 

Die Versions-/Korrekturstände sind in Abhängigkeit von gesetzlichen Anforderungen und 

Fachbereichsanforderungen zu archivieren. So ist z. B. jegliche Dokumentation, die auch indirekt mit der 

Rechnungslegung zu tun hat, laut den „Grundsätzen ordnungsmäßiger DV-gestützter 

Buchführungssysteme (GoBS)“ während der Lebenszeit des Systems und danach 10 Jahre zu archivieren. 

11. 

Nationale Gesetze zur Anerkennung der elektronischen Signatur: 

In der Bundesrepublik Deutschland gilt das Signaturgesetz – SigG. Hier sind die nationalen gesetzlichen 

Rahmenbedingungen für den Einsatz elektronischer Signaturen beschrieben. Das an die EU-Richtlinie über 

gemeinschaftliche Rahmenbedingungen für elektronische Signaturen vom 13.12.1999 [ECRL99] 

Seite 13 von 14


angepasste Gesetz über Rahmenbedingungen für elektronische Signaturen und zur Änderung weiterer 

Vorschriften [SigG01] ist am 22.05.2001 in Kraft getreten und löst das Signaturgesetz von 1997 ab. 

Das Gesetz soll Rahmenbedingungen schaffen, bei deren Einhaltung eine qualifizierte elektronische 

Signatur als mindestens gleichwertig sicher zu einer eigenhändigen Unterschrift angesehen werden kann. 

Es enthält Festlegungen darüber, wann qualifizierte elektronische Signaturen nach dem Signaturgesetz der 

handschriftlichen Unterschrift gleichgestellt sind. Im Ergebnis wird digitalen Signaturen nach dem 

Signaturgesetz auch vor Gericht eine hohe Sicherheit zugebilligt. 

12. 

Verantwortlichkeit: Zentraler Rechtsservice. 

13. 

Personenbezogene Audits sind schriftlich vom Leiter Informations- und Datenschutz und der zuständigen 

Personalabteilung genehmigen zu lassen. Eine Abstimmung mit dem Betriebsrat ist notwendig. 

14. 

Verantwortlichkeit: Informations- und Datenschutz. 

Seite 14 von 14

(IT)-Sicherheitshandlungsleitlinien für Systembetreiber und ... - Audi

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?