Sie befinden sich hier: Themen. IT-Grundschutz. IT-Grundschutz-Kataloge. Dokument: G 2 Gefährdungskatalog Organisatorische Mängel - IT-Grundschutz-Kataloge - 10. EL Stand 2008
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

G 2 Gefährdungskatalog Organisatorische Mängel

G 2.1 Fehlende oder unzureichende Regelungen

G 2.2 Unzureichende Kenntnis über Regelungen

G 2.3 Fehlende, ungeeignete, inkompatible Betriebsmittel

G 2.4 Unzureichende Kontrolle der IT-Sicherheitsmaßnahmen

G 2.5 Fehlende oder unzureichende Wartung

G 2.6 Unbefugter Zutritt zu schutzbedürftigen Räumen

G 2.7 Unerlaubte Ausübung von Rechten

G 2.8 Unkontrollierter Einsatz von Betriebsmitteln

G 2.9 Mangelhafte Anpassung an Veränderungen beim IT-Einsatz

G 2.10 Nicht fristgerecht verfügbare Datenträger

G 2.11 Unzureichende Trassendimensionierung

G 2.12 Unzureichende Dokumentation der Verkabelung

G 2.13 Unzureichend geschützte Verteiler

G 2.14 Beeinträchtigung der IT-Nutzung durch ungünstige Arbeitsbedingungen

G 2.15 Vertraulichkeitsverlust schutzbedürftiger Daten im Unix-System

G 2.16 Ungeordneter Benutzerwechsel bei tragbaren PCs

G 2.17 Mangelhafte Kennzeichnung der Datenträger

G 2.18 Ungeregelte Weitergabe von Datenträgern

G 2.19 Unzureichendes Schlüsselmanagement bei Verschlüsselung

G 2.20 Unzureichende oder falsche Versorgung mit Verbrauchsgütern

G 2.21 Mangelhafte Organisation des Wechsels zwischen den Benutzern

G 2.22 Fehlende Auswertung von Protokolldaten

G 2.23 Schwachstellen bei der Einbindung von DOS-PCs in ein servergestütztes Netz - ENTFALLEN

G 2.24 Vertraulichkeitsverlust schutzbedürftiger Daten des zu schützenden Netzes

G 2.25 Einschränkung der Übertragungs- oder Bearbeitungsgeschwindigkeit durch Peer-to-Peer-Funktionalitäten

G 2.26 Fehlendes oder unzureichendes Test- und Freigabeverfahren

G 2.27 Fehlende oder unzureichende Dokumentation

G 2.28 Verstöße gegen das Urheberrecht

G 2.29 Softwaretest mit Produktionsdaten

G 2.30 Unzureichende Domänenplanung

G 2.31 Unzureichender Schutz des Windows NT Systems

G 2.32 Unzureichende Leitungskapazitäten

G 2.33 Nicht gesicherter Aufstellungsort von Novell Netware Servern

G 2.34 Fehlende oder unzureichende Aktivierung von Novell Netware Sicherheitsmechanismen

G 2.35 Fehlende Protokollierung unter Windows 95 - ENTFALLEN

G 2.36 Ungeeignete Einschränkung der Benutzerumgebung

G 2.37 Unkontrollierter Aufbau von Kommunikationsverbindungen

G 2.38 Fehlende oder unzureichende Aktivierung von Datenbank-Sicherheitsmechanismen

G 2.39 Mangelhafte Konzeption eines DBMS

G 2.40  Mangelhafte Konzeption des Datenbankzugriffs

G 2.41 Mangelhafte Organisation des Wechsels von Datenbank-Benutzern

G 2.42 Komplexität der NDS

G 2.43 Migration von Novell Netware 3.x nach Novell Netware Version 4

G 2.44 Inkompatible aktive und passive Netzkomponenten

G 2.45  Konzeptionelle Schwächen des Netzes

G 2.46 Überschreiten der zulässigen Kabel- bzw. Buslänge oder der Ringgröße

G 2.47 Ungesicherter Akten- und Datenträgertransport

G 2.48 Ungeeignete Entsorgung der Datenträger und Dokumente am häuslichen Arbeitsplatz

G 2.49 Fehlende oder unzureichende Schulung der Telearbeiter

G 2.50 Verzögerungen durch temporär eingeschränkte Erreichbarkeit der Telearbeiter

G 2.51 Mangelhafte Einbindung des Telearbeiters in den Informationsfluss

G 2.52 Erhöhte Reaktionszeiten bei IT-Systemausfall - ENTFALLEN

G 2.53 Unzureichende Vertretungsregelungen für Telearbeit

G 2.54 Vertraulichkeitsverlust durch Restinformationen

G 2.55 Ungeordnete E-Mail-Nutzung

G 2.56 Mangelhafte Beschreibung von Dateien

G 2.57 Nicht ausreichende Speichermedien für den Notfall

G 2.58 Novell Netware und die Datumsumstellung im Jahr 2000 - ENTFALLEN

G 2.59 Betreiben von nicht angemeldeten Komponenten

G 2.60 Fehlende oder unzureichende Strategie für das Netz- und Systemmanagement

G 2.61 Unberechtigte Sammlung personenbezogener Daten

G 2.62 Ungeeigneter Umgang mit Sicherheitsvorfällen

G 2.63 Ungeordnete Faxnutzung

G 2.64 Fehlende Regelungen für das RAS-System - ENTFALLEN

G 2.65 Komplexität der SAMBA-Konfiguration

G 2.66 Unzureichendes Sicherheitsmanagement

G 2.67 Ungeeignete Verwaltung von Zugangs- und Zugriffsrechten

G 2.68 Fehlende oder unzureichende Planung des Active Directory

G 2.69 Fehlende oder unzureichende Planung des Einsatzes von Novelle eDirectory

G 2.70 Fehlerhafte oder unzureichende Planung der Partitionierung und Replizierung im Novell eDirectory

G 2.71 Fehlerhafte oder unzureichende Planung des LDAP-Zugriffs auf das Novell eDirectory

G 2.72 Unzureichende Migration von Archivsystemen

G 2.73 Fehlende Revisionsmöglichkeit von Archivsystemen

G 2.74 Unzureichende Ordnungskriterien für Archive

G 2.75 Mangelnde Kapazität von Archivdatenträgern

G 2.76 Unzureichende Dokumentation von Archivzugriffen

G 2.77 Unzulängliche Übertragung von Papierdaten in elektonische Archive

G 2.78 Unzulängliche Auffrischung von Datenbeständen bei der Archivierung

G 2.79 Unzulängliche Erneuerung von digitalen Signaturen bei der Archivierung

G 2.80 Unzureichende Durchführung von Revisionen bei der Archivierung

G 2.81 Unzureichende Vernichtung von Datenträgern bei der Archivierung

G 2.82 Fehlerhafte Planung des Aufstellungsortes von Speicher- und Archivsystemen

G 2.83 Fehlerhafte Outsourcing-Strategie

G 2.84 Unzulängliche vertragliche Regelungen mit einem externen Dienstleister

G 2.85 Unzureichende Regelungen für das Ende des Outsourcing-Vorhabens

G 2.86 Abhängigkeit von einem Outsourcing-Dienstleister

G 2.87 Verwendung unsicherer Protokolle in öffentlichen Netzen

G 2.88 Störungen des Betriebsklimas durch ein Outsourcing-Vorhaben

G 2.89 Mangelhafte IT-Sicherheit in der Outsourcing-Einführungsphase

G 2.90 Schwachstellen bei der Anbindung an einen Outsourcing-Dienstleister

G 2.91 Fehlerhafte Planung der Migration von Exchange 5.5 nach Exchange 2000

G 2.92 Fehlerhafte Regelungen für den Browser-Zugriff auf Exchange

G 2.93 Unzureichendes Notfallvorsorgekonzept beim Outsourcing

G 2.94 Unzureichende Planung des IIS-Einsatzes

G 2.95 Fehlendes Konzept zur Anbindung anderer E-Mail-Systeme an Exchange/Outlook

G 2.96 Veraltete oder falsche Informationen in einem Webangebot

G 2.97 Unzureichende Notfallplanung bei einem Apache Webserver

G 2.98 Fehlerhafte Planung und Konzeption des Einsatzes von Routern und Switches

G 2.99 Unzureichende oder fehlerhafte Konfiguration der zSeries-Systemumgebung

G 2.100 Fehler bei der Beantragung und Verwaltung von Internet-Domainnamen

G 2.101 Unzureichende Notfallvorsorge bei einem Sicherheitsgateway

G 2.102 Unzureichende Sensibilisierung für IT Sicherheit

G 2.103 Unzureichende Schulung der Mitarbeiter

G 2.104 Inkompatibilität zwischen fremder und eigener IT

G 2.105 Verstoß gegen gesetzliche Regelungen und vertragliche Vereinbarungen

G 2.106 Störung der Geschäftsabläufe aufgrund von Sicherheitsvorfällen

G 2.107 Unwirtschaftlicher Umgang mit Ressourcen durch unzureichendes Sicherheitsmanagement

G 2.106 Störung der Geschäftsabläufe aufgrund von IT Sicherheitsvorfällen

G 2.107  Unwirtschaftlicher Umgang mit Ressourcen durch unzureichendes IT-Sicherheitsmanagement

G 2.110 Mangelhafte Organisation bei Versionswechsel und Migration

G 2.111 Kompromittierung von Anmeldedaten bei Dienstleisterwechsel

G 2.112 Unzurechende Planung von VoIP

G 2.113 Unzureichende Planung der Netzkapazität beim Einsatz von VoIP

G 2.114 Uneinheitliche Windows Server 2003-Sicherheitseinstellungen bei SMB, RPC und LDAP

G 2.115 Ungeeigneter Umgang mit den Standardsicherheitsgruppen von Windows Server 2003

G 2.116 Datenverlust beim Kopieren oder Verschieben von Daten unter Windows Server 2003

G 2.117 Fehlende oder unzureichende Planung des WLAN-Einsatzes

G 2.118 Unzureichende Regelungen zum WLAN-Einsatz

G 2.119 Ungeeignete Auswahl von WLAN-Authentikationsverfahren

G 2.120 Ungeignete Aufstellung von sicherheitsrelevanten IT-Systemen

G 2.121 Unzureichende Kontrolle von WLANs

G 2.122 Ungeeigneter Einsatz von Multifunktionsgeräten

G 2.123 Fehlende oder unzureichende Planung des Einsatzes von Verzeichnisdiensten

G 2.124 Fehlerhafte oder unzureichende Planung der Partitionierung und Replizierung im Verzeichnisdienst

G 2.125 Fehlerhafte oder unzureichende Planung des Zugriffs auf den Verzeichnisdienst

G 2.126 Unzureichende Protokollierung von Änderungen am Active Directory

G 2.127 Unzureichende Planung von Datensicherungsmethoden für Domänen-Controller

G 2.128 Fehlende oder unzureichende Planung des VPN-Einsatzes

G 2.129 Fehlende oder unzureichende Regelungen zum VPN-Einsatz

G 2.130 Ungeeignete Auswahl von VPN-Verschlüsselungsverfahren

G 2.131 Unzureichende Kontrolle von VPNs

G 2.132 Mangelnde Berücksichtigung von Geschäftsprozessen beim Patch- und Änderungsmanagement

G 2.133 Mangelhaft festgelegte Verantwortlichkeiten beim Patch- und Änderungsmanagement

G 2.134 Mangelhaft festgelegte Verantwortlichkeiten beim Patch- und Änderungsmanagement

G 2.135 Mangelhafte Kommunikation beim Patch- und Änderungsmanagement

G 2.136 Fehlende Übersicht über den Informationsverbund

G 2.137 Fehlende und unzureichende Planung bei der Verteilung von Patches und Änderungen

G 2.138 Mangelhafte Wiederherstellungsoptionen beim Patch- und Änderungsmanagement

G 2.139 Mangelhafte Berücksichtigung von mobilen Endgeräten beim Patch- und Änderungsmanagement

G 2.140 Unzureichendes Notfallvorsorgekonzept für das Patch- und Änderungsmanagement