G 2.4 Unzureichende Kontrolle der Sicherheitsmaßnahmen

Werden bereits eingeführte Sicherheitsmaßnahmen (z. B. Klassifizierung von Informationen, Datensicherung, Zutrittskontrolle, Vorgaben für Verhalten bei Notfällen) nicht konsequent umgesetzt und regelmäßig kontrolliert, kann es sein, dass sie nicht wirksam sind oder missachtet werden. Mängel, die bei einer Kontrolle festgestellt werden, lassen sich meist ohne Schaden abstellen. Wenn Verstöße erst anlässlich eines Schadensfalls auffallen, kann oft nicht mehr rechtzeitig und der jeweiligen Situation angemessen reagiert werden.

Darüber hinaus gibt es Sicherheitsmaßnahmen, die nur wirksam sind, wenn Verantwortliche sie kontrollieren. Hierzu zählen beispielsweise Protokollierungsfunktionen, deren Sicherheitseigenschaften erst zum Tragen kommen, wenn die Protokolldaten ausgewertet werden.

Beispiele: