Externe Dienstleister und Lieferanten sind ein häufig übersehenes Einfallstor. Diese Checkliste gibt einen Überblick über alle externen Zugänge und hilft, nicht mehr benötigte Zugänge zu erkennen.
Externe Zugänge: Inventar
| Dienstleister / Person | Zugriff auf (System) | Art des Zugriffs | Eigener Account? | MFA aktiv? | Letzte Prüfung | Noch nötig? |
|---|
| | | | | | |
| | | | | | |
| | | | | | |
| | | | | | |
| | | | | | |
| | | | | | |
| | | | | | |
| | | | | | |
Regeln für externe Zugänge
Minimalprinzip: Jeder externe Zugang ist auf das Nötigste beschränkt (kein Admin-Zugang wenn Lesezugriff reicht).
Eigener Account: Kein geteilter Login: jeder Dienstleister hat seinen eigenen Account.
MFA: Alle externen Accounts brauchen MFA.
Zeitlich befristet: Zugänge werden befristet eingerichtet und nach Projektabschluss sofort gesperrt.
Quartals-Review: Diese Liste wird einmal pro Quartal durchgegangen und nicht mehr benötigte Zugänge werden gesperrt.
Protokollierung: Aktivitäten externer Accounts werden im Audit-Log überwacht (falls möglich).
Zu stellende Fragen an IT-Dienstleister
Welche Mitarbeitenden bei euch haben Zugriff auf unsere Systeme: mit Namen?
Wie ist euer eigenes Unternehmen gegen Angriffe geschützt? (MFA, Endpoint-Schutz, Backup)
Was passiert wenn einer eurer Mitarbeitenden einen Datenleck verursacht: wer haftet?
Habt ihr eine Cyberversicherung?
Wie werden wir im Falle eines Sicherheitsvorfalls bei euch informiert?
Nächste Prüfung
Verantwortlich für Prüfung