Kategorie:IT-Grundschutz/Umsetzungsplanung: Unterschied zwischen den Versionen

Version vom 7. Februar 2024, 15:39 Uhr

topic - Kurzbeschreibung

Beschreibung

In Ihrer Institution sind alle Basis- und Standard-Anforderungen erfüllt? Sie haben ferner mithilfe von Risikoanalysen festgestellt, dass auch solche Zielobjekte angemessen geschützt sind, die einen besonderen Schutzbedarf haben

Dann haben Sie zweifelsfrei ein gutes Sicherheitsniveau in Ihrer Institution erreicht, und können sich darauf konzentrieren, dieses zu erhalten und zu verbessern

In der Regel führen -Grundschutz-Check und zusätzliche Risikoanalysen aber zu einem anderen Ergebnis: Irgendwelche Defizite gibt es immer, seien es Lücken in den vorhandenen organisatorischen Regelungen oder mangelnde Kontrolle der geltenden Regeln, sei es fehlende Sicherheitstechnik oder unzureichender baulicher Schutz gegen Feuer, Wasser oder Diebstahl

Bei der Umsetzungsplanung geht es darum, diese Lücken wirksam und effizient zu schließen

In dieser Lektion lernen Sie hierfür ein systematisches Vorgehen kennen, an dem Sie sich insbesondere dann orientieren können, wenn viele Einzelmaßnahmen umzusetzen sind
Sie erfahren
welche Aspekte Sie bei der Umsetzung von Sicherheitsmaßnahmen berücksichtigen müssen
mit welchen Hilfsmitteln Sie der -Grundschutz dabei unterstützt
was Sie tun sollten, wenn zweckmäßige Sicherheitsmaßnahmen nicht unmittelbar umgesetzt werden können und
wie Sie die Ergebnisse der Umsetzungsplanung dokumentieren können

Maßnahmen konsolidieren

"Umsetzungsplanung Schritt 1"

Im ersten Schritt sind aus den Ergebnissen des -Grundschutz-Checks und eventuell durchgeführter Risikoanalysen diejenigen Anforderungen herauszufiltern, die nicht oder nur teilweise erfüllt sind

Eine übersichtliche Dokumentation erhalten Sie, wenn Sie die unzureichend erfüllten Anforderungen tabellarisch zusammenstellen und dabei nach den betroffenen Zielobjekten gruppieren, etwa nach dem gesamten Informationsverbund oder bestimmten Räumen und -Systemen

Legen Sie anschließend Maßnahmen fest, mit denen Sie diese Sicherheitslücken schließen können

Als Hilfsmittel hierfür können Sie die Umsetzungshinweise zu den einzelnen -Grundschutz-Bausteinen verwenden

Anschließend betrachten Sie die Maßnahmen im Zusammenhang und prüfen

ob einzelne Maßnahmen überflüssig werden, weil andere zu realisierende Maßnahmen einen mindestens gleichwertigen Schutz für das jeweilige Zielobjekt bewirken
welche Maßnahmen noch konkretisiert und an die individuellen Gegebenheiten der Institution angepasst werden müssen und
ob die Maßnahmen tatsächlich geeignet und angemessen sind, sie also genügend Schutz bieten, ohne die Arbeitsabläufe zu behindern oder die Schutzwirkung anderer Maßnahmen zu beeinträchtigen

Ziel ist es, durch Streichung der überflüssigen und Konkretisierung der verbleibenden Maßnahmen den erforderlichen finanziellen und personellen Realisierungsaufwand auf das notwendige Maß zu begrenzen

Das Ergebnis dieses Schritts ist eine auf die jeweilige Institution zugeschnittene und konkretisierte Liste von Maßnahmen

Erleichtern Sie die spätere Nachvollziehbarkeit der Entscheidungen, die Sie bei dem Abgleich und der Anpassung der Maßnahmen getroffen haben, indem Sie die Begründungen dokumentieren

Beispiele

Einige Beispiele sollen die Fragestellungen und mögliche Lösungen bei der Konsolidierung der Maßnahmen verdeutlichen:

Wenn eine Risikoanalyse ergab, dass für eine Gruppe von -Systemen eine Authentisierung über ein chipkarten- oder token-basiertes Verfahren angewandt werden sollte, können unter Umständen Maßnahmen zur Gewährleistung einer hohen Passwortgüte entfallen
Fehler bei der Gebäudeplanung lassen sich nachträglich oft nur mit einem unverhältnismäßig hohen Aufwand korrigieren
Wenn die vollständige Erfüllung von Anforderungen wie die Vermeidung wasserführender Leitungen aufgrund der baulichen Gegebenheiten wirtschaftlich nicht vertretbar ist, sollten zumindest Ersatzmaßnahmen getroffen werden
Beispielsweise können unter den vorhandenen Leitungen wasserableitende Bleche installiert werden, die von einem Wassermelder mit einer im ständig besetzten Pförtnerraum hörbaren Alarmsirene überwacht werden
Dadurch können Wasserschäden zumindest frühzeitig erkannt und in den Auswirkungen begrenzt werden
Maßnahmen zum Zugangsschutz versperren unter Umständen im Brandfall mögliche Fluchtwege
Hier empfiehlt sich gegebenenfalls die Rücksprache mit Brandschutzexperten, der Feuerwehr, um sowohl dem Zugangs- als auch dem Brandschutz gleichermaßen gerecht zu werden
Die Verschlüsselung unternehmenskritischer Informationen zum Schutz ihrer Vertraulichkeit ist ein Beispiel für eine Maßnahme, die mit anderen Schutzzielen kollidieren kann, und bei der daher eine sorgfältige Abwägung der Vor- und Nachteile und unter Umständen ergänzende Maßnahmen nötig sind:
- Verschlüsselte E-Mails können den zentralen Virenschutz auf einem Server unterlaufen und so zur Infiltration eines Netzes mit Schadsoftware führen
- Bei unzureichendem Schlüssel-Management oder fehlerhafter Anwendung kann Verschlüsselung ferner die Verfügbarkeit wichtiger Daten auch für berechtigte Personen gefährden

Aufwände schätzen

"Umsetzungsplanung Schritt 2"

Angesichts des in der Regel begrenzten Budgets für Informationssicherheit ist ein Überblick über die voraussichtlichen fixen und variablen Kosten der einzelnen Maßnahmen nötig

Daher schätzen Sie im nächsten Schritt, welcher einmalige und wiederkehrende finanzielle und personelle Aufwand durch die Umsetzung der einzelnen geplanten Maßnahmen entsteht

Der Einsatz von Personal und Finanzmitteln muss vom Management getragen werden

Dies gilt insbesondere dann, wenn die bewilligten Finanzmittel nicht für die sofortige Umsetzung sämtlicher Maßnahmen ausreichen und entschieden werden muss, ob das Budget aufgestockt oder das Risiko in Kauf genommen werden soll, das verbleibt, wenn Maßnahmen nicht umgesetzt werden

Zur Vorbereitung einer Managemententscheidung über die Einführung von Sicherheitsmaßnahmen sollten Sie

einen Vorschlag für die Verteilung des Budgets erarbeiten
kostengünstigere Ersatzmaßnahmen erwägen, falls der Aufwand für die Umsetzung einzelner Maßnahmen das voraussichtliche Budget übersteigt
die Restrisiken, die aus der Nichterfüllung von Sicherheitsanforderungen entstehen, dem Management bewusst machen (als Argumentationshilfe können Sie die Kreuzreferenztabellen verwenden, die Sie am Ende eines jeden -Grundschutz-Bausteins finden und in denen dargestellt ist, gegen welche Gefährdungen eine Anforderung gerichtet ist) und
dafür sorgen, dass das Management bei der Entscheidung über das Budget durch Unterschrift dokumentiert, dass es bereit ist, die Restrisiken zu tragen

Beachten Sie, dass die Erfüllung der relevanten Basis-Anforderungen das Mindest-Sicherheitsniveau gemäß -Grundschutz ist

Risiken, die aus der Nichterfüllung solcher Anforderungen erwachsen, sollten daher nicht akzeptiert werden

Umsetzungsreihenfolge und Verantwortlichkeit

"Umsetzungsplanung Schritte 3 und 4"

Wenn Budget oder Personal nicht ausreichen, alle wünschenswerten Sicherheitsmaßnahmen unmittelbar umzusetzen, ist eine sinnvolle Reihenfolge festzulegen

Dabei sollten Sie sich an folgenden Regeln orientieren:
Einen ersten Indikator zur Umsetzungsreihenfolge liefern die Kennzeichnungen R1, R2 und R3 bei den Modellierungshinweisen in Kapitel 2.2 des -Grundschutz-Kompendiums
Anforderungen aus mit „R1“ gekennzeichneten Bausteinen (z. B. ISMS.1 Sicherheitsmanagement und die Bausteine der Schicht ORP Organisation und Personal) sollten vorrangig erfüllt werden
Anschließend sind Anforderungen aus den mit „R2“ gekennzeichneten Bausteine zu erfüllen und erst zum Schluss solche aus Bausteinen, die mit dem Kürzel „R3“ versehen sind
Grundsätzlich sind ferner zunächst diejenigen Maßnahmen umzusetzen, mit denen Basis-Anforderungen erfüllt werden, dann diejenigen zur Erfüllung von Standard-Anforderungen und erst zuletzt die zur Gewährleistung eines höheren Schutzbedarfs
Berücksichtigen Sie ferner auch die sachlogischen Zusammenhänge der einzelnen Maßnahmen: So sind diejenigen Maßnahmen vorzuziehen, deren Umsetzung eine Voraussetzung für die Realisierung weiterer Maßnahmen ist

Insbesondere sollten Sie Ihr Augenmerk darauf legen, welche Wirkung die Umsetzung der einzelnen Maßnahmen auf das Sicherheitsniveau des Informationsverbundes hat

Setzen Sie vorrangig solche Maßnahmen um, die
Komponenten mit höherem Schutzbedarf betreffen ( sollten Server vor Clients abgesichert werden)
eine große Breitenwirkung entfalten (z. B. zentrale Maßnahmen wie der Einsatz von Netz- und Systemmanagement-Werkzeugen) oder
Bereiche betreffen, in denen auffallend viele Sicherheitsmaßnahmen fehlen

Dokumentieren Sie auch Ihre Entscheidungen zur Umsetzungsreihenfolge und deren Begründungen sorgfältig, damit nachvollziehbar und verständlich wird, warum Sie die aus der zeitlich nachgeordneten Umsetzung bestimmter Maßnahmen resultierenden Restrisiken in Kauf genommen haben

Dies kann insbesondere bei eventuell möglichen juristischen Streitfällen als Nachweis wichtig sein, dass die notwendige Sorgfaltspflicht beachtet wurde

Aufgaben und Verantwortlichkeiten

Maßnahmen werden meist nur dann fristgerecht umgesetzt, wenn geklärt wird, wer bis zu welchem Termin für deren Umsetzung zuständig ist

Der nächste Schritt besteht daher darin, diejenigen Personen zu bestimmen, welche die Umsetzung initiieren und durchführen sollen
Auch diese Entscheidungen sollten mit dem Management abgestimmt sein

Achten Sie darauf, dass die für die Umsetzung Zuständigen ausreichende Kenntnisse und Kompetenzen besitzen und ihnen die erforderlichen Ressourcen zur Verfügung gestellt werden

Planen Sie erforderliche Fortbildungen ein

Begleitende Maßnahmen

Begleitende Maßnahmen festlegen

"Umsetzungsplanung Schritt 5"

Der Erfolg einer Maßnahme hängt in einem entscheidenden Umfang davon ab, wie diese von den Mitarbeitern akzeptiert und angewandt wird

Achten Sie daher darauf, dass bei Einführung neuer Sicherheitsmaßnahmen die betroffenen Mitarbeiter ausreichend geschult und für mögliche Probleme sensibilisiert werden

Schulungsmaßnahmen

Planen Sie Schulungsmaßnahmen ein!

Die Einführung neuer Sicherheitsmaßnahmen erfordert immer auch aufgaben- und produktbezogene Schulungen für die betroffenen Mitarbeiter

Was nützt zum Beispiel ein neu angeschaffter Feuerlöscher, wenn die Mitarbeiter im Brandfall nicht sachgerecht mit ihm umgehen können? Drei weitere Beispiele für zweckmäßige Schulungen:
Wenn Sie einem Mitarbeiter besondere Aufgaben im Sicherheitsmanagement übertragen, etwa als -Informationssicherheitsbeauftragter, benötigt er vielfältige und kontinuierlich zu aktualisierende Kenntnisse zu methodischen, organisatorischen und technischen Aspekten seines Aufgabengebiets
Der hierfür erforderliche Zeitaufwand ist bereits vor der Einführung dieser Verantwortlichkeit und der Ernennung des hierfür ausgewählten Mitarbeiters zu berücksichtigen
Wenn die Schnittstelle zum Internet durch eine Firewall geschützt werden soll, benötigt der zuständige Netzadministrator Kenntnisse über deren sichere Installation, Konfiguration und Administration
Der Einsatz von Verschlüsselungssoftware zum Schutz der Vertraulichkeit personenbezogener oder unternehmenskritischer Daten erfordert nicht nur den Aufbau von Know-how zu dem eingesetzten Produkt, sondern auch Regeln für dessen Anwendung: Welche Nachrichten oder Dateien sind zu verschlüsseln? Wie ist der private Schlüssel zu schützen? Wie sichert man, dass im Bedarfsfall berechtigte Vertreter Zugriff auf die verschlüsselten Daten erhalten? Die auf diese und andere Fragen gefundenen Lösungen müssen den Mitarbeitern verständlich gemacht werden

Sensibilisierung

Sensibilisieren Sie die betroffenen Mitarbeiter!

Gute Schulung alleine garantiert noch kein sicherheitsgerechtes Verhalten

Für die dauerhafte Wirksamkeit der Sicherheitsmaßnahmen ist es wichtig, dass die Mitarbeiter für Informationssicherheit sensibilisiert und bereit sind, die erforderlichen Maßnahmen umzusetzen, die notwendigen Verhaltensregeln zu beachten und unter Umständen auch Unbequemlichkeiten zu akzeptieren
Einige negative Beispiele:
Brandschutztüren verlieren ihre Schutzwirkung, wenn sie mit Holzkeilen offen gehalten werden, weil den Mitarbeitern das ständige Öffnen der Türen zu umständlich ist
Der Kauf von Software zur E-Mail-Verschlüsselung wird zur Fehlinvestition, wenn die Mitarbeiter diese nicht benutzen, weil sie sich der Gefährdungen der Vertraulichkeit nicht bewusst sind und ihre E-Mails weiterhin unverschlüsselt versenden, auch solche mit vertraulichem Inhalt
Passwörter bedeuten immer einen zusätzlichen Arbeitsschritt vor der eigentlichen Aufgabe
Regeln für sichere Passwörter wie periodischer Wechsel oder die Verwendung unterschiedlicher Passwörter für unterschiedliche Systeme erhöhen die Unbequemlichkeit
Wenn die Mitarbeiter diese Anforderungen lediglich als lästige Pflicht betrachten, werden Sie dazu neigen, sie zu umgehen, indem sie unsichere Passwörter wählen oder Zettel mit den Passwörtern in der Nähe des Rechners platzieren
Ein Netzadministrator, der seine Probleme bei der Installation eines Sicherheitsgateways unter Angabe seiner dienstlichen Adresse in einem Internet-Forum diskutiert, gefährdet die Schutzwirkung der Software, um deren Installation er sich bemüht

Den betroffenen Mitarbeitern muss der Sinn der neuen Sicherheitsmaßnahmen verständlich gemacht werden, sei es in Gesprächen, in eigens anberaumten Versammlungen, während regelmäßig stattfindender Besprechungen oder in schriftlicher Form

Akzeptanz

Überprüfen Sie die Akzeptanz der Maßnahmen!

Maßnahmen, die von den Mitarbeitern nicht akzeptiert werden, drohen zu scheitern. Überprüfen Sie daher nach Einführung der Sicherheitsmaßnahmen, ob diese tatsächlich von den Mitarbeitern angenommen werden

Sollte dies nicht oder nur eingeschränkt der Fall sein, so versuchen Sie, die Ursachen dafür zu ermitteln, und leiten Sie bei Bedarf zusätzliche Maßnahmen zur Sensibilisierung ein

Dokumentation

Der nachfolgende Auszug aus dem Realisierungsplan der RECPLAST zeigt, wie Sie die Festlegungen zur Umsetzung von Maßnahmen dokumentieren können

Dargestellt sind Maßnahmen für ein ausgewähltes Zielobjekt, den Printserver S003, und die zugehörigen Entscheidungen zu Terminen, Budget und Verantwortlichkeiten

Umsetzungsplan

Anforderung	Maßnahme	Termin	Budget	Umsetzung
SYS.1.1.A3 Restriktive Rechtevergabe	Die verbliebenen Gruppenberechtigungen müssen aufgelöst werden	Drittes Quartal des Jahres	keine Kosten	Herr Schmitt(-Betrieb)
SYS.1.1.A4 Rollentrennung	Separate Benutzerkennungen für jeden Administrator einrichten	31 Juli des Jahres	keine Kosten	Herr Schmitt(-Betrieb)
SYS.1.1.A8 Regelmäßige Datensicherung	Die Datensicherungen werden derzeit auf Bändern im Serverraum aufbewahrt Ein externes Backup-System ist geplant Ein Angebot für die Initialisierung liegt bereits vor (15.000 €) Die Betriebskosten müssen noch verhandelt werden	Erstes Quartal im Folgejahr	Anschaffung: 15.000 €Betrieb:noch offen	Frau Meyer(Einkauf)

Realisierung von IT-Sicherheitsmaßnahmen

Sichtung der Untersuchungsergebnisse
Welche Maßnahmen sind nicht oder nur teilweise umgesetzt?

Schritt 2: Konsolidierung der Maßnahmen

Welche IT-Grundschutzmaßnahmen werden durch höher- oder gleichwertige Maßnahmen ersetzt?
Welche Maßnahmenempfehlungen müssen noch an die individuellen Gegebenheiten angepasst werden?

Schritt 3: Kosten- und Aufwandsschätzung

Welche einmaligen/wiederkehrenden Investitions- bzw. Personalkosten entstehen?
Wenn das zur Verfügung stehende Budget nicht ausreicht, sollten Ersatzmaßnahmen ergriffen werden und das verblei-bende Restrisiko für die Leitungsebene dokumentiert werden

Schritt 4: Festlegung der Umsetzungsreihenfolge

Welche fehlenden Maßnahmen sollten zuerst umgesetzt werden?
Breitenwirkung beachten!

Schritt 5: Festlegung der Verantwortlichkeit

Wer setzt welche Maßnahme bis wann um?

Schritt 6: Realisierungsbegleitende Maßnahmen

Schulung der Mitarbeiter
Sensibilisierung der Mitarbeiter zur Erhöhung der Akzeptanz der IT-Sicherheitsmaßnahmen

Konsolidierung der Maßnahmen

Konsolidieren der Maßnahmen der IT-Grundschutz-Kataloge

zusätzlichen Maßnahmen aus der Ergänzenden Risikoanalyse

=> zu realisierende Maßnahmen

Anhang

Siehe auch

Sicherheit

Dokumentation

Links

Projekt

Weblinks

Seiten in der Kategorie „IT-Grundschutz/Umsetzungsplanung“

Folgende 3 Seiten sind in dieser Kategorie, von 3 insgesamt.

I

S

Skript/IT-Grundschutz/Praktiker

@@ Zeile 2: / Zeile 2: @@
 == Beschreibung ==
-In Ihrer Institution sind alle Basis- und Standard-Anforderungen erfüllt? Sie haben ferner mithilfe von Risikoanalysen festgestellt, dass auch solche Zielobjekte angemessen geschützt sind, die einen besonderen Schutzbedarf haben.
+In Ihrer Institution sind alle Basis- und Standard-Anforderungen erfüllt? Sie haben ferner mithilfe von Risikoanalysen festgestellt, dass auch solche Zielobjekte angemessen geschützt sind, die einen besonderen Schutzbedarf haben
-* Dann haben Sie zweifelsfrei ein gutes Sicherheitsniveau in Ihrer Institution erreicht, und können sich darauf konzentrieren, dieses zu erhalten und zu verbessern.
+* Dann haben Sie zweifelsfrei ein gutes Sicherheitsniveau in Ihrer Institution erreicht, und können sich darauf konzentrieren, dieses zu erhalten und zu verbessern
-In der Regel führen -Grundschutz-Check und zusätzliche Risikoanalysen aber zu einem anderen Ergebnis: Irgendwelche Defizite gibt es immer, seien es Lücken in den vorhandenen organisatorischen Regelungen oder mangelnde Kontrolle der geltenden Regeln, sei es fehlende Sicherheitstechnik oder unzureichender baulicher Schutz gegen Feuer, Wasser oder Diebstahl.
+In der Regel führen -Grundschutz-Check und zusätzliche Risikoanalysen aber zu einem anderen Ergebnis: Irgendwelche Defizite gibt es immer, seien es Lücken in den vorhandenen organisatorischen Regelungen oder mangelnde Kontrolle der geltenden Regeln, sei es fehlende Sicherheitstechnik oder unzureichender baulicher Schutz gegen Feuer, Wasser oder Diebstahl
-Bei der Umsetzungsplanung geht es darum, diese Lücken wirksam und effizient zu schließen.
+Bei der Umsetzungsplanung geht es darum, diese Lücken wirksam und effizient zu schließen
-* In dieser Lektion lernen Sie hierfür ein systematisches Vorgehen kennen, an dem Sie sich insbesondere dann orientieren können, wenn viele Einzelmaßnahmen umzusetzen sind.
+* In dieser Lektion lernen Sie hierfür ein systematisches Vorgehen kennen, an dem Sie sich insbesondere dann orientieren können, wenn viele Einzelmaßnahmen umzusetzen sind
-* Sie erfahren,
+* Sie erfahren
-* welche Aspekte Sie bei der Umsetzung von Sicherheitsmaßnahmen berücksichtigen müssen,
+* welche Aspekte Sie bei der Umsetzung von Sicherheitsmaßnahmen berücksichtigen müssen
-* mit welchen Hilfsmitteln Sie der -Grundschutz dabei unterstützt,
+* mit welchen Hilfsmitteln Sie der -Grundschutz dabei unterstützt
 * was Sie tun sollten, wenn zweckmäßige Sicherheitsmaßnahmen nicht unmittelbar umgesetzt werden können und
-* wie Sie die Ergebnisse der Umsetzungsplanung dokumentieren können.
+* wie Sie die Ergebnisse der Umsetzungsplanung dokumentieren können
 == Maßnahmen konsolidieren ==
 [[Image:Abb_8_01_Schritt1.png?__blob=normal&v=1Bild2.png|top|alt="Umsetzungsplanung Schritt 1"]]
-Im '''ersten Schritt''' sind aus den Ergebnissen des -Grundschutz-Checks und eventuell durchgeführter Risikoanalysen diejenigen Anforderungen herauszufiltern, die '''nicht oder nur teilweise erfüllt''' sind.
+Im '''ersten Schritt''' sind aus den Ergebnissen des -Grundschutz-Checks und eventuell durchgeführter Risikoanalysen diejenigen Anforderungen herauszufiltern, die '''nicht oder nur teilweise erfüllt''' sind
-Eine übersichtliche Dokumentation erhalten Sie, wenn Sie die unzureichend erfüllten Anforderungen '''tabellarisch zusammenstellen''' und dabei nach den betroffenen Zielobjekten gruppieren, etwa nach dem gesamten Informationsverbund oder bestimmten Räumen und -Systemen.
+Eine übersichtliche Dokumentation erhalten Sie, wenn Sie die unzureichend erfüllten Anforderungen '''tabellarisch zusammenstellen''' und dabei nach den betroffenen Zielobjekten gruppieren, etwa nach dem gesamten Informationsverbund oder bestimmten Räumen und -Systemen
-Legen Sie anschließend '''Maßnahmen''' fest, mit denen Sie diese Sicherheitslücken schließen können.
+Legen Sie anschließend '''Maßnahmen''' fest, mit denen Sie diese Sicherheitslücken schließen können
-* Als Hilfsmittel hierfür können Sie die Umsetzungshinweise zu den einzelnen -Grundschutz-Bausteinen verwenden.
+* Als Hilfsmittel hierfür können Sie die Umsetzungshinweise zu den einzelnen -Grundschutz-Bausteinen verwenden
-Anschließend betrachten Sie die Maßnahmen '''im Zusammenhang''' und prüfen,
+Anschließend betrachten Sie die Maßnahmen '''im Zusammenhang''' und prüfen
-* ob einzelne Maßnahmen überflüssig werden, weil andere zu realisierende Maßnahmen einen mindestens gleichwertigen Schutz für das jeweilige Zielobjekt bewirken,
+* ob einzelne Maßnahmen überflüssig werden, weil andere zu realisierende Maßnahmen einen mindestens gleichwertigen Schutz für das jeweilige Zielobjekt bewirken
 * welche Maßnahmen noch konkretisiert und an die individuellen Gegebenheiten der Institution angepasst werden müssen und
-* ob die Maßnahmen tatsächlich geeignet und angemessen sind, sie also genügend Schutz bieten, ohne die Arbeitsabläufe zu behindern oder die Schutzwirkung anderer Maßnahmen zu beeinträchtigen.
+* ob die Maßnahmen tatsächlich geeignet und angemessen sind, sie also genügend Schutz bieten, ohne die Arbeitsabläufe zu behindern oder die Schutzwirkung anderer Maßnahmen zu beeinträchtigen
-Ziel ist es, durch Streichung der überflüssigen und Konkretisierung der verbleibenden Maßnahmen den erforderlichen finanziellen und personellen Realisierungsaufwand auf das notwendige Maß zu begrenzen.
+Ziel ist es, durch Streichung der überflüssigen und Konkretisierung der verbleibenden Maßnahmen den erforderlichen finanziellen und personellen Realisierungsaufwand auf das notwendige Maß zu begrenzen
-Das Ergebnis dieses Schritts ist eine auf die jeweilige Institution zugeschnittene und konkretisierte Liste von Maßnahmen.
+Das Ergebnis dieses Schritts ist eine auf die jeweilige Institution zugeschnittene und konkretisierte Liste von Maßnahmen
-* Erleichtern Sie die spätere Nachvollziehbarkeit der Entscheidungen, die Sie bei dem Abgleich und der Anpassung der Maßnahmen getroffen haben, indem Sie die Begründungen dokumentieren.
+* Erleichtern Sie die spätere Nachvollziehbarkeit der Entscheidungen, die Sie bei dem Abgleich und der Anpassung der Maßnahmen getroffen haben, indem Sie die Begründungen dokumentieren
 === Beispiele ===
 Einige Beispiele sollen die Fragestellungen und mögliche Lösungen bei der Konsolidierung der Maßnahmen verdeutlichen:
-* Wenn eine Risikoanalyse ergab, dass für eine Gruppe von -Systemen eine Authentisierung über ein chipkarten- oder token-basiertes Verfahren angewandt werden sollte, können unter Umständen Maßnahmen zur Gewährleistung einer hohen Passwortgüte entfallen.
+* Wenn eine Risikoanalyse ergab, dass für eine Gruppe von -Systemen eine Authentisierung über ein chipkarten- oder token-basiertes Verfahren angewandt werden sollte, können unter Umständen Maßnahmen zur Gewährleistung einer hohen Passwortgüte entfallen
-* Fehler bei der Gebäudeplanung lassen sich nachträglich oft nur mit einem unverhältnismäßig hohen Aufwand korrigieren.
+* Fehler bei der Gebäudeplanung lassen sich nachträglich oft nur mit einem unverhältnismäßig hohen Aufwand korrigieren
-* Wenn die vollständige Erfüllung von Anforderungen wie die Vermeidung wasserführender Leitungen aufgrund der baulichen Gegebenheiten wirtschaftlich nicht vertretbar ist, sollten zumindest Ersatzmaßnahmen getroffen werden.
+* Wenn die vollständige Erfüllung von Anforderungen wie die Vermeidung wasserführender Leitungen aufgrund der baulichen Gegebenheiten wirtschaftlich nicht vertretbar ist, sollten zumindest Ersatzmaßnahmen getroffen werden
-* Beispielsweise können unter den vorhandenen Leitungen wasserableitende Bleche installiert werden, die von einem Wassermelder mit einer im ständig besetzten Pförtnerraum hörbaren Alarmsirene überwacht werden.
+* Beispielsweise können unter den vorhandenen Leitungen wasserableitende Bleche installiert werden, die von einem Wassermelder mit einer im ständig besetzten Pförtnerraum hörbaren Alarmsirene überwacht werden
-* Dadurch können Wasserschäden zumindest frühzeitig erkannt und in den Auswirkungen begrenzt werden.
+* Dadurch können Wasserschäden zumindest frühzeitig erkannt und in den Auswirkungen begrenzt werden
-* Maßnahmen zum Zugangsschutz versperren unter Umständen im Brandfall mögliche Fluchtwege.
+* Maßnahmen zum Zugangsschutz versperren unter Umständen im Brandfall mögliche Fluchtwege
-* Hier empfiehlt sich gegebenenfalls die Rücksprache mit Brandschutzexperten, der Feuerwehr, um sowohl dem Zugangs- als auch dem Brandschutz gleichermaßen gerecht zu werden.
+* Hier empfiehlt sich gegebenenfalls die Rücksprache mit Brandschutzexperten, der Feuerwehr, um sowohl dem Zugangs- als auch dem Brandschutz gleichermaßen gerecht zu werden
 * Die Verschlüsselung unternehmenskritischer Informationen zum Schutz ihrer Vertraulichkeit ist ein Beispiel für eine Maßnahme, die mit anderen Schutzzielen kollidieren kann, und bei der daher eine sorgfältige Abwägung der Vor- und Nachteile und unter Umständen ergänzende Maßnahmen nötig sind:
-** Verschlüsselte E-Mails können den zentralen Virenschutz auf einem Server unterlaufen und so zur Infiltration eines Netzes mit Schadsoftware führen.
+** Verschlüsselte E-Mails können den zentralen Virenschutz auf einem Server unterlaufen und so zur Infiltration eines Netzes mit Schadsoftware führen
-** Bei unzureichendem Schlüssel-Management oder fehlerhafter Anwendung kann Verschlüsselung ferner die Verfügbarkeit wichtiger Daten auch für berechtigte Personen gefährden.
+** Bei unzureichendem Schlüssel-Management oder fehlerhafter Anwendung kann Verschlüsselung ferner die Verfügbarkeit wichtiger Daten auch für berechtigte Personen gefährden
 == Aufwände schätzen ==
 [[Image:Abb_8_02_Schritt2.png?__blob=normal&v=1Bild3.png|top|alt="Umsetzungsplanung Schritt 2"]]
-Angesichts des in der Regel begrenzten Budgets für Informationssicherheit ist ein Überblick über die voraussichtlichen fixen und variablen Kosten der einzelnen Maßnahmen nötig.
+Angesichts des in der Regel begrenzten Budgets für Informationssicherheit ist ein Überblick über die voraussichtlichen fixen und variablen Kosten der einzelnen Maßnahmen nötig
-* Daher schätzen Sie im nächsten Schritt, welcher einmalige und wiederkehrende finanzielle und personelle Aufwand durch die Umsetzung der einzelnen geplanten Maßnahmen entsteht.
+* Daher schätzen Sie im nächsten Schritt, welcher einmalige und wiederkehrende finanzielle und personelle Aufwand durch die Umsetzung der einzelnen geplanten Maßnahmen entsteht
-Der Einsatz von Personal und Finanzmitteln muss vom Management getragen werden.
+Der Einsatz von Personal und Finanzmitteln muss vom Management getragen werden
-* Dies gilt insbesondere dann, wenn die bewilligten Finanzmittel nicht für die sofortige Umsetzung sämtlicher Maßnahmen ausreichen und entschieden werden muss, ob das Budget aufgestockt oder das Risiko in Kauf genommen werden soll, das verbleibt, wenn Maßnahmen nicht umgesetzt werden.
+* Dies gilt insbesondere dann, wenn die bewilligten Finanzmittel nicht für die sofortige Umsetzung sämtlicher Maßnahmen ausreichen und entschieden werden muss, ob das Budget aufgestockt oder das Risiko in Kauf genommen werden soll, das verbleibt, wenn Maßnahmen nicht umgesetzt werden
 Zur Vorbereitung einer Managemententscheidung über die Einführung von Sicherheitsmaßnahmen sollten Sie
-* einen Vorschlag für die Verteilung des Budgets erarbeiten,
+* einen Vorschlag für die Verteilung des Budgets erarbeiten
-* kostengünstigere Ersatzmaßnahmen erwägen, falls der Aufwand für die Umsetzung einzelner Maßnahmen das voraussichtliche Budget übersteigt,
+* kostengünstigere Ersatzmaßnahmen erwägen, falls der Aufwand für die Umsetzung einzelner Maßnahmen das voraussichtliche Budget übersteigt
 * die Restrisiken, die aus der Nichterfüllung von Sicherheitsanforderungen entstehen, dem Management bewusst machen (als Argumentationshilfe können Sie die Kreuzreferenztabellen verwenden, die Sie am Ende eines jeden -Grundschutz-Bausteins finden und in denen dargestellt ist, gegen welche Gefährdungen eine Anforderung gerichtet ist) und
-* dafür sorgen, dass das Management bei der Entscheidung über das Budget durch Unterschrift dokumentiert, dass es bereit ist, die Restrisiken zu tragen.
+* dafür sorgen, dass das Management bei der Entscheidung über das Budget durch Unterschrift dokumentiert, dass es bereit ist, die Restrisiken zu tragen
-Beachten Sie, dass die Erfüllung der relevanten Basis-Anforderungen das Mindest-Sicherheitsniveau gemäß -Grundschutz ist.
+Beachten Sie, dass die Erfüllung der relevanten Basis-Anforderungen das Mindest-Sicherheitsniveau gemäß -Grundschutz ist
-* Risiken, die aus der Nichterfüllung solcher Anforderungen erwachsen, sollten daher nicht akzeptiert werden.
+* Risiken, die aus der Nichterfüllung solcher Anforderungen erwachsen, sollten daher nicht akzeptiert werden
 == Umsetzungsreihenfolge und Verantwortlichkeit ==
 [[Image:Abb_8_03_Schritte3_4.png?__blob=normal&v=1Bild5.png|top|alt="Umsetzungsplanung Schritte 3 und 4"]]
-Wenn Budget oder Personal nicht ausreichen, alle wünschenswerten Sicherheitsmaßnahmen unmittelbar umzusetzen, ist eine sinnvolle Reihenfolge festzulegen.
+Wenn Budget oder Personal nicht ausreichen, alle wünschenswerten Sicherheitsmaßnahmen unmittelbar umzusetzen, ist eine sinnvolle Reihenfolge festzulegen
 * Dabei sollten Sie sich an folgenden Regeln orientieren:
-* Einen ersten Indikator zur Umsetzungsreihenfolge liefern die '''Kennzeichnungen R1, R2 und R3''' bei den Modellierungshinweisen in Kapitel 2.2 des -Grundschutz-Kompendiums.
+* Einen ersten Indikator zur Umsetzungsreihenfolge liefern die '''Kennzeichnungen R1, R2 und R3''' bei den Modellierungshinweisen in Kapitel 2.2 des -Grundschutz-Kompendiums
-* Anforderungen aus mit „R1“ gekennzeichneten Bausteinen (z.&nbsp;B.&nbsp;ISMS.1 ''Sicherheitsmanagement'' und die Bausteine der Schicht ORP ''Organisation und Personal'') sollten vorrangig erfüllt werden.
+* Anforderungen aus mit „R1“ gekennzeichneten Bausteinen (z.&nbsp;B.&nbsp;ISMS.1 ''Sicherheitsmanagement'' und die Bausteine der Schicht ORP ''Organisation und Personal'') sollten vorrangig erfüllt werden
-* Anschließend sind Anforderungen aus den mit „R2“ gekennzeichneten Bausteine zu erfüllen und erst zum Schluss solche aus Bausteinen, die mit dem Kürzel „R3“ versehen sind.
+* Anschließend sind Anforderungen aus den mit „R2“ gekennzeichneten Bausteine zu erfüllen und erst zum Schluss solche aus Bausteinen, die mit dem Kürzel „R3“ versehen sind
-* Grundsätzlich sind ferner zunächst diejenigen Maßnahmen umzusetzen, mit denen '''Basis-Anforderungen''' erfüllt werden, dann diejenigen zur Erfüllung von '''Standard-Anforderungen''' und erst zuletzt die zur '''Gewährleistung eines höheren Schutzbedarfs'''.
+* Grundsätzlich sind ferner zunächst diejenigen Maßnahmen umzusetzen, mit denen '''Basis-Anforderungen''' erfüllt werden, dann diejenigen zur Erfüllung von '''Standard-Anforderungen''' und erst zuletzt die zur '''Gewährleistung eines höheren Schutzbedarfs'''
-* Berücksichtigen Sie ferner auch die '''sachlogischen Zusammenhänge''' der einzelnen Maßnahmen: So sind diejenigen Maßnahmen vorzuziehen, deren Umsetzung eine Voraussetzung für die Realisierung weiterer Maßnahmen ist.
+* Berücksichtigen Sie ferner auch die '''sachlogischen Zusammenhänge''' der einzelnen Maßnahmen: So sind diejenigen Maßnahmen vorzuziehen, deren Umsetzung eine Voraussetzung für die Realisierung weiterer Maßnahmen ist
-Insbesondere sollten Sie Ihr Augenmerk darauf legen, welche Wirkung die Umsetzung der einzelnen Maßnahmen auf das Sicherheitsniveau des Informationsverbundes hat.
+Insbesondere sollten Sie Ihr Augenmerk darauf legen, welche Wirkung die Umsetzung der einzelnen Maßnahmen auf das Sicherheitsniveau des Informationsverbundes hat
 * Setzen Sie vorrangig solche Maßnahmen um, die
-* Komponenten mit höherem Schutzbedarf betreffen ( sollten Server vor Clients abgesichert werden),
+* Komponenten mit höherem Schutzbedarf betreffen ( sollten Server vor Clients abgesichert werden)
 * eine große Breitenwirkung entfalten (z.&nbsp;B.&nbsp;zentrale Maßnahmen wie der Einsatz von Netz- und Systemmanagement-Werkzeugen) oder
-* Bereiche betreffen, in denen auffallend viele Sicherheitsmaßnahmen fehlen.
+* Bereiche betreffen, in denen auffallend viele Sicherheitsmaßnahmen fehlen
-Dokumentieren Sie auch Ihre Entscheidungen zur Umsetzungsreihenfolge und deren Begründungen sorgfältig, damit nachvollziehbar und verständlich wird, warum Sie die aus der zeitlich nachgeordneten Umsetzung bestimmter Maßnahmen resultierenden Restrisiken in Kauf genommen haben.
+Dokumentieren Sie auch Ihre Entscheidungen zur Umsetzungsreihenfolge und deren Begründungen sorgfältig, damit nachvollziehbar und verständlich wird, warum Sie die aus der zeitlich nachgeordneten Umsetzung bestimmter Maßnahmen resultierenden Restrisiken in Kauf genommen haben
-* Dies kann insbesondere bei eventuell möglichen juristischen Streitfällen als Nachweis wichtig sein, dass die notwendige Sorgfaltspflicht beachtet wurde.
+* Dies kann insbesondere bei eventuell möglichen juristischen Streitfällen als Nachweis wichtig sein, dass die notwendige Sorgfaltspflicht beachtet wurde
 === Aufgaben und Verantwortlichkeiten ===
-Maßnahmen werden meist nur dann fristgerecht umgesetzt, wenn geklärt wird, wer bis zu welchem Termin für deren Umsetzung zuständig ist.
+Maßnahmen werden meist nur dann fristgerecht umgesetzt, wenn geklärt wird, wer bis zu welchem Termin für deren Umsetzung zuständig ist
-* Der nächste Schritt besteht daher darin, diejenigen Personen zu bestimmen, welche die Umsetzung initiieren und durchführen sollen.
+* Der nächste Schritt besteht daher darin, diejenigen Personen zu bestimmen, welche die Umsetzung initiieren und durchführen sollen
-* Auch diese Entscheidungen sollten mit dem Management abgestimmt sein.
+* Auch diese Entscheidungen sollten mit dem Management abgestimmt sein
-Achten Sie darauf, dass die für die Umsetzung Zuständigen ausreichende Kenntnisse und Kompetenzen besitzen und ihnen die erforderlichen Ressourcen zur Verfügung gestellt werden.
+Achten Sie darauf, dass die für die Umsetzung Zuständigen ausreichende Kenntnisse und Kompetenzen besitzen und ihnen die erforderlichen Ressourcen zur Verfügung gestellt werden
-* Planen Sie erforderliche Fortbildungen ein.
+* Planen Sie erforderliche Fortbildungen ein
 == Begleitende Maßnahmen ==
@@ Zeile 98: / Zeile 98: @@
 [[Image:Abb_8_04_Schritt5.png?__blob=normal&v=1Bild6.png|top|alt="Umsetzungsplanung Schritt 5"]]
-Der Erfolg einer Maßnahme hängt in einem entscheidenden Umfang davon ab, wie diese von den Mitarbeitern akzeptiert und angewandt wird.
+Der Erfolg einer Maßnahme hängt in einem entscheidenden Umfang davon ab, wie diese von den Mitarbeitern akzeptiert und angewandt wird
-* Achten Sie daher darauf, dass bei Einführung neuer Sicherheitsmaßnahmen die betroffenen Mitarbeiter ausreichend geschult und für mögliche Probleme sensibilisiert werden.
+* Achten Sie daher darauf, dass bei Einführung neuer Sicherheitsmaßnahmen die betroffenen Mitarbeiter ausreichend geschult und für mögliche Probleme sensibilisiert werden
 === Schulungsmaßnahmen ===
 ; Planen Sie Schulungsmaßnahmen ein!
-Die Einführung neuer Sicherheitsmaßnahmen erfordert immer auch aufgaben- und produktbezogene Schulungen für die betroffenen Mitarbeiter.
+Die Einführung neuer Sicherheitsmaßnahmen erfordert immer auch aufgaben- und produktbezogene Schulungen für die betroffenen Mitarbeiter
 * Was nützt zum Beispiel ein neu angeschaffter Feuerlöscher, wenn die Mitarbeiter im Brandfall nicht sachgerecht mit ihm umgehen können? Drei weitere Beispiele für zweckmäßige Schulungen:
-* Wenn Sie einem Mitarbeiter besondere Aufgaben im Sicherheitsmanagement übertragen, etwa als -Informationssicherheitsbeauftragter, benötigt er vielfältige und kontinuierlich zu aktualisierende Kenntnisse zu methodischen, organisatorischen und technischen Aspekten seines Aufgabengebiets.
+* Wenn Sie einem Mitarbeiter besondere Aufgaben im Sicherheitsmanagement übertragen, etwa als -Informationssicherheitsbeauftragter, benötigt er vielfältige und kontinuierlich zu aktualisierende Kenntnisse zu methodischen, organisatorischen und technischen Aspekten seines Aufgabengebiets
-* Der hierfür erforderliche Zeitaufwand ist bereits vor der Einführung dieser Verantwortlichkeit und der Ernennung des hierfür ausgewählten Mitarbeiters zu berücksichtigen.
+* Der hierfür erforderliche Zeitaufwand ist bereits vor der Einführung dieser Verantwortlichkeit und der Ernennung des hierfür ausgewählten Mitarbeiters zu berücksichtigen
-* Wenn die Schnittstelle zum Internet durch eine Firewall geschützt werden soll, benötigt der zuständige Netzadministrator Kenntnisse über deren sichere Installation, Konfiguration und Administration.
+* Wenn die Schnittstelle zum Internet durch eine Firewall geschützt werden soll, benötigt der zuständige Netzadministrator Kenntnisse über deren sichere Installation, Konfiguration und Administration
-* Der Einsatz von Verschlüsselungssoftware zum Schutz der Vertraulichkeit personenbezogener oder unternehmenskritischer Daten erfordert nicht nur den Aufbau von Know-how zu dem eingesetzten Produkt, sondern auch Regeln für dessen Anwendung: Welche Nachrichten oder Dateien sind zu verschlüsseln? Wie ist der private Schlüssel zu schützen? Wie sichert man, dass im Bedarfsfall berechtigte Vertreter Zugriff auf die verschlüsselten Daten erhalten? Die auf diese und andere Fragen gefundenen Lösungen müssen den Mitarbeitern verständlich gemacht werden.
+* Der Einsatz von Verschlüsselungssoftware zum Schutz der Vertraulichkeit personenbezogener oder unternehmenskritischer Daten erfordert nicht nur den Aufbau von Know-how zu dem eingesetzten Produkt, sondern auch Regeln für dessen Anwendung: Welche Nachrichten oder Dateien sind zu verschlüsseln? Wie ist der private Schlüssel zu schützen? Wie sichert man, dass im Bedarfsfall berechtigte Vertreter Zugriff auf die verschlüsselten Daten erhalten? Die auf diese und andere Fragen gefundenen Lösungen müssen den Mitarbeitern verständlich gemacht werden
 === Sensibilisierung ===
 ; Sensibilisieren Sie die betroffenen Mitarbeiter!
-Gute Schulung alleine garantiert noch kein sicherheitsgerechtes Verhalten.
+Gute Schulung alleine garantiert noch kein sicherheitsgerechtes Verhalten
-* Für die dauerhafte Wirksamkeit der Sicherheitsmaßnahmen ist es wichtig, dass die Mitarbeiter für Informationssicherheit sensibilisiert und bereit sind, die erforderlichen Maßnahmen umzusetzen, die notwendigen Verhaltensregeln zu beachten und unter Umständen auch Unbequemlichkeiten zu akzeptieren.
+* Für die dauerhafte Wirksamkeit der Sicherheitsmaßnahmen ist es wichtig, dass die Mitarbeiter für Informationssicherheit sensibilisiert und bereit sind, die erforderlichen Maßnahmen umzusetzen, die notwendigen Verhaltensregeln zu beachten und unter Umständen auch Unbequemlichkeiten zu akzeptieren
 * Einige negative Beispiele:
-* Brandschutztüren verlieren ihre Schutzwirkung, wenn sie mit Holzkeilen offen gehalten werden, weil den Mitarbeitern das ständige Öffnen der Türen zu umständlich ist.
+* Brandschutztüren verlieren ihre Schutzwirkung, wenn sie mit Holzkeilen offen gehalten werden, weil den Mitarbeitern das ständige Öffnen der Türen zu umständlich ist
-* Der Kauf von Software zur E-Mail-Verschlüsselung wird zur Fehlinvestition, wenn die Mitarbeiter diese nicht benutzen, weil sie sich der Gefährdungen der Vertraulichkeit nicht bewusst sind und ihre E-Mails weiterhin unverschlüsselt versenden, auch solche mit vertraulichem Inhalt.
+* Der Kauf von Software zur E-Mail-Verschlüsselung wird zur Fehlinvestition, wenn die Mitarbeiter diese nicht benutzen, weil sie sich der Gefährdungen der Vertraulichkeit nicht bewusst sind und ihre E-Mails weiterhin unverschlüsselt versenden, auch solche mit vertraulichem Inhalt
-* Passwörter bedeuten immer einen zusätzlichen Arbeitsschritt vor der eigentlichen Aufgabe.
+* Passwörter bedeuten immer einen zusätzlichen Arbeitsschritt vor der eigentlichen Aufgabe
-* Regeln für sichere Passwörter wie periodischer Wechsel oder die Verwendung unterschiedlicher Passwörter für unterschiedliche Systeme erhöhen die Unbequemlichkeit.
+* Regeln für sichere Passwörter wie periodischer Wechsel oder die Verwendung unterschiedlicher Passwörter für unterschiedliche Systeme erhöhen die Unbequemlichkeit
-* Wenn die Mitarbeiter diese Anforderungen lediglich als lästige Pflicht betrachten, werden Sie dazu neigen, sie zu umgehen, indem sie unsichere Passwörter wählen oder Zettel mit den Passwörtern in der Nähe des Rechners platzieren.
+* Wenn die Mitarbeiter diese Anforderungen lediglich als lästige Pflicht betrachten, werden Sie dazu neigen, sie zu umgehen, indem sie unsichere Passwörter wählen oder Zettel mit den Passwörtern in der Nähe des Rechners platzieren
-* Ein Netzadministrator, der seine Probleme bei der Installation eines Sicherheitsgateways unter Angabe seiner dienstlichen Adresse in einem Internet-Forum diskutiert, gefährdet die Schutzwirkung der Software, um deren Installation er sich bemüht.
+* Ein Netzadministrator, der seine Probleme bei der Installation eines Sicherheitsgateways unter Angabe seiner dienstlichen Adresse in einem Internet-Forum diskutiert, gefährdet die Schutzwirkung der Software, um deren Installation er sich bemüht
-Den betroffenen Mitarbeitern muss der Sinn der neuen Sicherheitsmaßnahmen verständlich gemacht werden, sei es in Gesprächen, in eigens anberaumten Versammlungen, während regelmäßig stattfindender Besprechungen oder in schriftlicher Form.
+Den betroffenen Mitarbeitern muss der Sinn der neuen Sicherheitsmaßnahmen verständlich gemacht werden, sei es in Gesprächen, in eigens anberaumten Versammlungen, während regelmäßig stattfindender Besprechungen oder in schriftlicher Form
 === Akzeptanz ===
 ; Überprüfen Sie die Akzeptanz der Maßnahmen!
-Maßnahmen, die von den Mitarbeitern nicht akzeptiert werden, drohen zu scheitern. Überprüfen Sie daher nach Einführung der Sicherheitsmaßnahmen, ob diese tatsächlich von den Mitarbeitern angenommen werden.
+Maßnahmen, die von den Mitarbeitern nicht akzeptiert werden, drohen zu scheitern. Überprüfen Sie daher nach Einführung der Sicherheitsmaßnahmen, ob diese tatsächlich von den Mitarbeitern angenommen werden
-* Sollte dies nicht oder nur eingeschränkt der Fall sein, so versuchen Sie, die Ursachen dafür zu ermitteln, und leiten Sie bei Bedarf zusätzliche Maßnahmen zur Sensibilisierung ein.
+* Sollte dies nicht oder nur eingeschränkt der Fall sein, so versuchen Sie, die Ursachen dafür zu ermitteln, und leiten Sie bei Bedarf zusätzliche Maßnahmen zur Sensibilisierung ein
 == Dokumentation ==
-Der nachfolgende Auszug aus dem Realisierungsplan der RECPLAST zeigt, wie Sie die Festlegungen zur Umsetzung von Maßnahmen dokumentieren können.
+Der nachfolgende Auszug aus dem Realisierungsplan der RECPLAST zeigt, wie Sie die Festlegungen zur Umsetzung von Maßnahmen dokumentieren können
-* Dargestellt sind Maßnahmen für ein ausgewähltes Zielobjekt, den Printserver S003, und die zugehörigen Entscheidungen zu Terminen, Budget und Verantwortlichkeiten.
+* Dargestellt sind Maßnahmen für ein ausgewähltes Zielobjekt, den Printserver S003, und die zugehörigen Entscheidungen zu Terminen, Budget und Verantwortlichkeiten
 ; Umsetzungsplan
@@ Zeile 142: / Zeile 142: @@
 ! | Umsetzung
 |-
-|| SYS.1.1.A3 ''Restriktive Rechtevergabe'' || Die verbliebenen Gruppenberechtigungen müssen aufgelöst werden.
+|| SYS.1.1.A3 ''Restriktive Rechtevergabe'' || Die verbliebenen Gruppenberechtigungen müssen aufgelöst werden
 || Drittes Quartal des Jahres
 || keine Kosten
@@ Zeile 148: / Zeile 148: @@
 |-
 || SYS.1.1.A4 ''Rollentrennung'' || Separate Benutzerkennungen für jeden Administrator einrichten
-|| 31.
+|| 31
 * Juli des Jahres
 || keine Kosten
 || Herr Schmitt(-Betrieb)
 |-
-|| SYS.1.1.A8 ''Regelmäßige Datensicherung'' || Die Datensicherungen werden derzeit auf Bändern im Serverraum aufbewahrt.
+|| SYS.1.1.A8 ''Regelmäßige Datensicherung'' || Die Datensicherungen werden derzeit auf Bändern im Serverraum aufbewahrt
-* Ein externes Backup-System ist geplant.
+* Ein externes Backup-System ist geplant
-* Ein Angebot für die Initialisierung liegt bereits vor (15.000 €).
+* Ein Angebot für die Initialisierung liegt bereits vor (15.000 €)
-* Die Betriebskosten müssen noch verhandelt werden.
+* Die Betriebskosten müssen noch verhandelt werden
 || Erstes Quartal im Folgejahr
 || Anschaffung: 15.000 €Betrieb:noch offen
@@ Zeile 175: / Zeile 175: @@
 '''Schritt 3: Kosten- und Aufwandsschätzung'''
 * Welche einmaligen/wiederkehrenden Investitions- bzw.&nbsp;Personalkosten entstehen?
-* Wenn das zur Verfügung stehende Budget nicht ausreicht, sollten Ersatzmaßnahmen ergriffen werden und das verblei-bende Restrisiko für die Leitungsebene dokumentiert werden.
+* Wenn das zur Verfügung stehende Budget nicht ausreicht, sollten Ersatzmaßnahmen ergriffen werden und das verblei-bende Restrisiko für die Leitungsebene dokumentiert werden
 '''Schritt 4: Festlegung der Umsetzungsreihenfolge'''