Sicherheitsrichtlinien fuer den Standort
Konkrete Vorgaben fuer Software, Systemeinstellungen, Passwoerter und Zugriffsrechte – bereit zur Umsetzung.
Ganzheitliches Sicherheitskonzept
Diese Richtlinien decken alle Bereiche ab – von Software ueber Systemeinstellungen bis zu Mitarbeiterverhalten.
Schutzsoftware
Welche Software auf jedem Geraet installiert sein muss
Systemeinstellungen
Windows-Konfigurationen und Gruppenrichtlinien
Passwort-Policy
Anforderungen an Passwoerter und Authentifizierung
Zugriffsrechte
Wer darf auf was zugreifen – Rollen und Rechte
Pflicht-Software fuer jeden Arbeitsplatz
| Kategorie | Software | Status | Bemerkung |
|---|---|---|---|
| Antivirus (Basis) | Windows Defender (gehaertet) | Pflicht | Immer aktiv, konfiguriert gem. Software-Guide |
| Anti-Malware (Erweitert) | Malwarebytes Premium oder ESET NOD32 | Pflicht | Ergaenzend zu Defender, woechentlicher Scan |
| Passwort-Manager | Bitwarden (Self-Hosted) oder KeePassXC | Pflicht | Fuer alle Dienstpasswoerter, niemals Browser-Speicher |
| Festplattenverschluesselung | BitLocker (Win Pro/Enterprise) | Pflicht | TPM + PIN, Recovery-Key zentral sichern |
| Backup-Software | Veeam Agent (Free) oder Acronis | Pflicht | Taeglich inkrementell, woechentlich voll |
| VPN-Client | WireGuard oder OpenVPN | Bei Bedarf | Pflicht bei Remote-Arbeit / Home-Office |
| Browser-Erweiterungen | uBlock Origin + HTTPS Everywhere | Empfohlen | Blockiert Tracking, Malvertising, unsichere Seiten |
| DNS-Filter | NextDNS oder Pi-hole (Netzwerkweit) | Empfohlen | Blockiert Malware-Domains auf DNS-Ebene |
⚠ Verbotene Software
Folgende Software darf nicht installiert sein: Torrent-Clients, unbekannte Remote-Tools (TeamViewer nur auf Freigabe), gecrackte Software, ungenehmigte Browser-Erweiterungen, persoenliche Cloud-Sync-Tools (Dropbox privat etc.).
Systemeinstellungen & Gruppenrichtlinien
| Einstellung | Wert | Warum |
|---|---|---|
| Windows Update | Automatisch | Sicherheitspatches sofort installieren |
| Bildschirmsperre | 5 Minuten | Schutz bei Abwesenheit |
| Autorun/AutoPlay | Deaktiviert | Verhindert USB-basierte Malware |
| Remote Desktop (RDP) | Deaktiviert | Nur per VPN + Ausnahme aktivieren |
| PowerShell-Ausfuehrung | RemoteSigned | Nur signierte Skripte erlauben |
| SMBv1 | Deaktiviert | Altes, unsicheres Protokoll (WannaCry-Vektor) |
| UAC (User Account Control) | Hoechste Stufe | Warnt bei Admin-Aktionen |
| Windows Firewall | Aktiv (alle Profile) | Domain, Private und Public aktiv |
- ✓ WLAN: WPA3 verwenden (mindestens WPA2-AES), kein WEP/TKIP
- ✓ Gaeste-WLAN: Eigenes VLAN, kein Zugriff auf internes Netz
- ✓ DNS: Sichere DNS-Server verwenden (NextDNS, Quad9: 9.9.9.9)
- ✓ DHCP: Reservierungen fuer bekannte Geraete, unbekannte Geraete isolieren
- ✓ Switch-Ports: Port Security aktivieren (MAC-Filterung)
- ✓ Router-Admin: Standard-Passwort aendern, HTTPS-Admin aktivieren
Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Kontorichtlinien
Minimale Passwortlaenge: 12 Zeichen
Maximales Passwortalter: 90 Tage
Kennwortchronik erzwingen: 12 Passwoerter
Komplexitaet: Aktiviert
# Kontosperrung
Kontosperrungsschwelle: 5 Versuche
Kontosperrdauer: 30 Minuten
Zuruecksetzen nach: 30 Minuten
# Audit-Richtlinien
Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Erweiterte Ueberwachungsrichtlinie
Anmeldeversuche: Erfolg + Fehler
Objektzugriff: Erfolg + Fehler
Rechteaenderungen: Erfolg + Fehler
Passwort- & Authentifizierungsrichtlinien
Passwort-Anforderungen
| Kriterium | Anforderung |
|---|---|
| Mindestlaenge | 12 Zeichen (Admin: 16) |
| Komplexitaet | Gross + Klein + Zahl + Sonderzeichen |
| Maximales Alter | 90 Tage (empfohlen: Passphrase ohne Ablauf) |
| Passworthistorie | Letzte 12 Passwoerter gesperrt |
| Sperrung nach | 5 Fehlversuchen / 30 Min. gesperrt |
| MFA | Pflicht fuer alle Konten |
| Passwort-Manager | Pflicht |
Verboten
- ✗ Passwoerter auf Zetteln / Post-Its
- ✗ Gleiche Passwoerter fuer mehrere Dienste
- ✗ Passwoerter im Browser speichern
- ✗ Passwoerter per E-Mail / Chat teilen
- ✗ Woerterbuch-Woerter (auch mit Zahlen)
- ✗ Persoenliche Daten (Name, Geburtsdatum)
- ✗ Tastatur-Muster (qwertz, 12345)
💡 Passphrase statt Passwort
Bilde einen Satz und nutze Anfangsbuchstaben:
«Mein Hund Bello ist 3 Jahre alt!»
→ MHBi3Ja!
Oder verwende direkt eine Passphrase:
Kaffee-Ozean-Roboter-7!
Zugriffs- & Berechtigungskonzept
Rollenbasiertes Zugriffsmodell (RBAC)
| Rolle | Systemrechte | Datenzugriff | Spezialrechte |
|---|---|---|---|
| Standard-User | Kein Admin | Eigene Abteilung | Keine |
| Power-User | Kein Admin | Eigene + Projekt-Ordner | Software-Installation (genehmigt) |
| IT-Support | Lokaler Admin (zeitlich begrenzt) | Alle Client-Systeme | Remote-Support, Patch-Mgmt |
| IT-Admin | Domain Admin (PAW) | Alles | Server, AD, Firewall, Backup |
| Geschaeftsleitung | Kein Admin | Management-Reports | Freigabe von Ausnahmen |
Zugriffskontroll-Regeln
Least Privilege
Jeder erhaelt nur die minimalen Rechte, die fuer seine Aufgabe noetig sind. Kein «vorsorglich Admin machen».
Zeitliche Begrenzung
Admin-Rechte werden zeitlich begrenzt vergeben (Just-In-Time Access). Nach Ablauf automatisch entzogen.
Audit & Logging
Alle Zugriffe auf sensible Daten werden protokolliert. Regelmaessige Review aller Berechtigungen (quartalsweise).
Klare Verbote
• Keine geteilten Admin-Accounts – jeder Admin hat einen persoenlichen Admin-Account
• Admin-Accounts fuer keine taegliche Arbeit verwenden (separater Standard-Account)
• Keine Weitergabe von Zugangsdaten an Kolleginnen oder Kollegen
• Kein Zugriff auf Systeme ohne dokumentierten Grund
Onboarding / Offboarding Checkliste
Neuer Mitarbeiter (Onboarding)
- ✓ AD-Konto erstellen (Standard-User)
- ✓ Richtige Gruppen/Abteilung zuweisen
- ✓ MFA einrichten (Authenticator App)
- ✓ Passwort-Manager-Account erstellen
- ✓ Geraet mit Standardimage aufsetzen
- ✓ BitLocker aktivieren
- ✓ Security-Awareness-Schulung durchfuehren
- ✓ IT-Sicherheitsrichtlinie unterzeichnen lassen
Austritt (Offboarding)
- ✓ AD-Konto sofort deaktivieren (am letzten Tag)
- ✓ Alle Sitzungen beenden (Token invalidieren)
- ✓ MFA-Geraet zuruecksetzen / entfernen
- ✓ Passwort-Manager-Zugang sperren
- ✓ Geraet einziehen & sicher loeschen
- ✓ Remote-Zugriffe (VPN) entziehen
- ✓ Geteilte Passwoerter aendern (falls vorhanden)
- ✓ E-Mail-Weiterleitung einrichten (befristet)
Letztes Kapitel: Live Malware-Demo
Sieh in einer sicheren Simulation, wie Schadsoftware erkannt und behandelt wird. Weiter zur Malware-Demo →