G 2 Gefährdungskatalog Organisatorische Mängel
G 2.1 Fehlende oder unzureichende Regelungen
G 2.2 Unzureichende Kenntnis über Regelungen
G 2.3 Fehlende, ungeeignete, inkompatible Betriebsmittel
G 2.4 Unzureichende Kontrolle der Sicherheitsmaßnahmen
G 2.5 Fehlende oder unzureichende Wartung
G 2.6 Unbefugter Zutritt zu schutzbedürftigen Räumen
G 2.7 Unerlaubte Ausübung von Rechten
G 2.8 Unkontrollierter Einsatz von Betriebsmitteln
G 2.9 Mangelhafte Anpassung an Veränderungen beim IT-Einsatz
G 2.10 Nicht fristgerecht verfügbare Datenträger
G 2.11 Unzureichende Trassendimensionierung
G 2.12 Unzureichende Dokumentation der Verkabelung
G 2.13 Unzureichend geschützte Verteiler
G 2.14 Beeinträchtigung der IT-Nutzung durch ungünstige Arbeitsbedingungen
G 2.15 Vertraulichkeitsverlust schutzbedürftiger Daten im Unix-System
G 2.16 Ungeordneter Benutzerwechsel bei tragbaren PCs
G 2.17 Mangelhafte Kennzeichnung der Datenträger
G 2.18 Ungeregelte Weitergabe von Datenträgern
G 2.19 Unzureichendes Schlüsselmanagement bei Verschlüsselung
G 2.20 Unzureichende oder falsche Versorgung mit Verbrauchsgütern
G 2.21 Mangelhafte Organisation des Wechsels zwischen den Benutzern
G 2.22 Fehlende Auswertung von Protokolldaten
G 2.23 Schwachstellen bei der Einbindung von DOS-PCs in ein servergestütztes Netz - entfallen
G 2.24 Vertraulichkeitsverlust schutzbedürftiger Daten des zu schützenden Netzes
G 2.25 Einschränkung der Übertragungs- oder Bearbeitungsgeschwindigkeit durch Peer-to-Peer-Funktionalitäten - entfallen
G 2.26 Fehlendes oder unzureichendes Test- und Freigabeverfahren
G 2.27 Fehlende oder unzureichende Dokumentation
G 2.28 Verstöße gegen das Urheberrecht
G 2.29 Softwaretest mit Produktionsdaten
G 2.30 Unzureichende Domänenplanung - entfallen
G 2.31 Unzureichender Schutz des Windows NT Systems - entfallen
G 2.32 Unzureichende Leitungskapazitäten
G 2.33 Nicht gesicherter Aufstellungsort von Novell Netware Servern
G 2.34 Fehlende oder unzureichende Aktivierung der Novell Netware Sicherheitsmechanismen
G 2.35 Fehlende Protokollierung unter Windows 95 - entfallen
G 2.36 Ungeeignete Einschränkung der Benutzerumgebung
G 2.37 Unkontrollierter Aufbau von Kommunikationsverbindungen
G 2.38 Fehlende oder unzureichende Aktivierung von Datenbank-Sicherheitsmechanismen
G 2.39 Mangelhafte Konzeption eines DBMS
G 2.40 Mangelhafte Konzeption des Datenbankzugriffs
G 2.41 Mangelhafte Organisation des Wechsels von Datenbank-Benutzern
G 2.43 Migration von Novell Netware 3.x nach Novell Netware Version 4
G 2.44 Inkompatible aktive und passive Netzkomponenten
G 2.45 Konzeptionelle Schwächen des Netzes
G 2.46 Überschreiten der zulässigen Kabel- bzw. Buslänge oder der Ringgröße
G 2.47 Ungesicherter Akten- und Datenträgertransport
G 2.48 Ungeeignete Entsorgung der Datenträger und Dokumente
G 2.49 Fehlende oder unzureichende Schulung der Telearbeiter
G 2.50 Verzögerungen durch temporär eingeschränkte Erreichbarkeit der Telearbeiter
G 2.51 Mangelhafte Einbindung des Telearbeiters in den Informationsfluss
G 2.52 Erhöhte Reaktionszeiten bei IT-Systemausfall - entfallen
G 2.53 Unzureichende Vertretungsregelungen für Telearbeit
G 2.54 Vertraulichkeitsverlust durch Restinformationen
G 2.55 Ungeordnete Groupware-Nutzung
G 2.56 Mangelhafte Beschreibung von Dateien - entfallen
G 2.57 Nicht ausreichende Speichermedien für den Notfall
G 2.58 Novell Netware und die Datumsumstellung im Jahr 2000 - entfallen
G 2.59 Betreiben von nicht angemeldeten Komponenten
G 2.60 Fehlende oder unzureichende Strategie für das Netz- und Systemmanagement
G 2.61 Unberechtigte Sammlung personenbezogener Daten
G 2.62 Ungeeigneter Umgang mit Sicherheitsvorfällen
G 2.64 Fehlende Regelungen für das RAS-System - entfallen
G 2.65 Komplexität der SAMBA-Konfiguration - entfallen
G 2.66 Unzureichendes Sicherheitsmanagement
G 2.67 Ungeeignete Verwaltung von Zugangs- und Zugriffsrechten
G 2.68 Fehlende oder unzureichende Planung des Active Directory
G 2.69 Fehlende oder unzureichende Planung des Einsatzes von Novell eDirectory
G 2.71 Fehlerhafte oder unzureichende Planung des LDAP-Zugriffs auf Novell eDirectory
G 2.72 Unzureichende Migration von Archivsystemen
G 2.73 Fehlende Revisionsmöglichkeit von Archivsystemen
G 2.74 Unzureichende Ordnungskriterien für Archive
G 2.75 Mangelnde Kapazität von Archivdatenträgern
G 2.76 Unzureichende Dokumentation von Archivzugriffen
G 2.77 Unzulängliche Übertragung von Papierdaten in elektronische Archive
G 2.78 Unzulängliche Auffrischung von Datenbeständen bei der Archivierung
G 2.79 Unzureichende Erneuerung von digitalen Signaturen bei der Archivierung
G 2.80 Unzureichende Durchführung von Revisionen bei der Archivierung
G 2.81 Unzureichende Vernichtung von Datenträgern bei der Archivierung
G 2.82 Fehlerhafte Planung des Aufstellungsortes von Speicher- und Archivsystemen
G 2.83 Fehlerhafte Outsourcing-Strategie
G 2.84 Unzulängliche vertragliche Regelungen mit einem externen Dienstleister
G 2.85 Unzureichende Regelungen für das Ende des Outsourcing-Vorhabens
G 2.86 Abhängigkeit von einem Outsourcing-Dienstleister
G 2.87 Verwendung unsicherer Protokolle in öffentlichen Netzen
G 2.88 Störung des Betriebsklimas durch ein Outsourcing-Vorhaben
G 2.89 Mangelhafte IT-Sicherheit in der Outsourcing-Einführungsphase
G 2.90 Schwachstellen bei der Anbindung an einen Outsourcing-Dienstleister
G 2.91 Fehlerhafte Planung der Migration von Exchange 5.5 nach Exchange 2000
G 2.92 Fehlerhafte Regelungen für den Browser-Zugriff auf Exchange
G 2.93 Unzureichendes Notfallvorsorgekonzept beim Outsourcing
G 2.94 Unzureichende Planung des IIS-Einsatzes - entfallen
G 2.95 Fehlendes Konzept zur Anbindung anderer E-Mail-Systeme an Exchange/Outlook
G 2.96 Veraltete oder falsche Informationen in einem Webangebot
G 2.97 Unzureichende Notfallplanung bei einem Apache-Webserver - entfallen
G 2.98 Fehlerhafte Planung und Konzeption des Einsatzes von Routern und Switches
G 2.99 Unzureichende oder fehlerhafte Konfiguration der zSeries-Systemumgebung
G 2.100 Fehler bei der Beantragung und Verwaltung von Internet-Domainname
G 2.101 Unzureichende Notfallvorsorge bei einem Sicherheitsgateway
G 2.102 Unzureichende Sensibilisierung für Informationssicherheit
G 2.103 Unzureichende Schulung der Mitarbeiter
G 2.104 Inkompatibilität zwischen fremder und eigener IT
G 2.105 Verstoß gegen gesetzliche Regelungen und vertragliche Vereinbarungen
G 2.106 Störung der Geschäftsabläufe aufgrund von Sicherheitsvorfällen
G 2.107 Unwirtschaftlicher Umgang mit Ressourcen durch unzureichendes Sicherheitsmanagement
G 2.108 Fehlende oder unzureichende Planung des SAP Einsatzes
G 2.109 Fehlende oder unzureichende Planung des Speichersystems
G 2.110 Mangelhafte Organisation bei Versionswechsel und Migration von Datenbanken
G 2.111 Kompromittierung von Anmeldedaten bei Dienstleisterwechsel
G 2.112 Unzureichende Planung von VoIP
G 2.113 Unzureichende Planung der Netzkapazität beim Einsatz von VoIP
G 2.114 Uneinheitliche Windows-Server-2003-Sicherheitseinstellungen bei SMB, RPC und LDAP
G 2.115 Ungeeigneter Umgang mit den Standard-Sicherheitsgruppen von Windows Server 2003
G 2.116 Datenverlust beim Kopieren oder Verschieben von Daten unter Windows Server 2003
G 2.117 Fehlende oder unzureichende Planung des WLAN-Einsatzes
G 2.118 Unzureichende Regelungen zum WLAN-Einsatz
G 2.119 Ungeeignete Auswahl von WLAN-Authentikationsverfahren
G 2.120 Ungeeignete Aufstellung von sicherheitsrelevanten IT-Systemen
G 2.121 Unzureichende Kontrolle von WLANs
G 2.122 Ungeeigneter Einsatz von Multifunktionsgeräten
G 2.123 Fehlende oder unzureichende Planung des Einsatzes von Verzeichnisdiensten
G 2.125 Fehlerhafte oder unzureichende Planung des Zugriffs auf den Verzeichnisdienst
G 2.126 Unzureichende Protokollierung von Änderungen am Active Directory
G 2.127 Unzureichende Planung von Datensicherungsmethoden für Domänen-Controller
G 2.128 Fehlende oder unzureichende Planung des VPN-Einsatzes
G 2.129 Fehlende oder unzureichende Regelungen zum VPN-Einsatz
G 2.130 Ungeeignete Auswahl von VPN-Verschlüsselungsverfahren
G 2.131 Unzureichende Kontrolle von VPNs
G 2.132 Mangelnde Berücksichtigung von Geschäftsprozessen beim Patch- und Änderungsmanagement
G 2.133 Mangelhaft festgelegte Verantwortlichkeiten beim Patch- und Änderungsmanagement
G 2.134 Unzureichende Ressourcen beim Patch- und Änderungsmanagement
G 2.135 Mangelhafte Kommunikation beim Patch- und Änderungsmanagement
G 2.136 Fehlende Übersicht über den Informationsverbund
G 2.137 Fehlende und unzureichende Planung bei der Verteilung von Patches und Änderungen
G 2.138 Mangelhafte Wiederherstellungsoptionen beim Patch- und Änderungsmanagement
G 2.139 Mangelhafte Berücksichtigung von mobilen Endgeräten beim Patch- und Änderungsmanagement
G 2.140 Unzureichendes Notfallvorsorgekonzept für das Patch- und Änderungsmanagement
G 2.141 Nicht erkannte Sicherheitsvorfälle
G 2.142 Zerstörung von Beweisspuren bei der Behandlung von Sicherheitsvorfällen
G 2.143 Informationsverlust beim Kopieren oder Verschieben von Daten auf Samba-Freigaben
G 2.144 Unzureichende Notfall-Planung bei einem Samba-Server
G 2.145 Unzureichende Sicherung von Trivial Database Dateien unter Samba
G 2.146 Verlust der Arbeitsfähigkeit von Vista-Clients durch fehlende Reaktivierung vor SP1
G 2.147 Fehlende Zentralisierung durch Peer-to-Peer
G 2.148 Fehlerhafte Planung der Virtualisierung
G 2.149 Nicht ausreichende Speicherkapazität für virtuelle IT-Systeme
G 2.150 Fehlerhafte Integration von Gastwerkzeugen in virtuellen IT-Systemen
G 2.152 Fehlende oder unzureichende Planung des DNS-Einsatzes
G 2.153 Ungeeignete Sicherung des Übertragungsweges in einer Terminalserver Umgebung
G 2.154 Ungeeignete Anwendungen für den Einsatz auf Terminalservern