Bundesamt für Sicherheit in der Informationstechnik

G 2 Organisatorische Mängel

G 2.1 Fehlende oder unzureichende Regelungen

G 2.2 Unzureichende Kenntnis über Regelungen

G 2.3 Fehlende, ungeeignete, inkompatible Betriebsmittel

G 2.4 Unzureichende Kontrolle der Sicherheitsmaßnahmen

G 2.5 Fehlende oder unzureichende Wartung

G 2.6 Unbefugter Zutritt zu schutzbedürftigen Räumen

G 2.7 Unerlaubte Ausübung von Rechten

G 2.8 Unkontrollierter Einsatz von Betriebsmitteln

G 2.9 Mangelhafte Anpassung an Veränderungen beim IT-Einsatz

G 2.10 Nicht fristgerecht verfügbare Datenträger

G 2.11 Unzureichende Trassendimensionierung

G 2.12 Unzureichende Dokumentation der Verkabelung

G 2.13 Unzureichend geschützte Verteiler

G 2.14 Beeinträchtigung der IT-Nutzung durch ungünstige Arbeitsbedingungen

G 2.15 Vertraulichkeitsverlust schutzbedürftiger Daten im Unix-System

G 2.16 Ungeordneter Benutzerwechsel bei tragbaren PCs

G 2.17 Mangelhafte Kennzeichnung der Datenträger

G 2.18 Ungeregelte Weitergabe von Datenträgern

G 2.19 Unzureichendes Schlüsselmanagement bei Verschlüsselung

G 2.20 Unzureichende oder falsche Versorgung mit Verbrauchsgütern

G 2.21 Mangelhafte Organisation des Wechsels zwischen den Benutzern

G 2.22 Fehlende oder unzureichende Auswertung von Protokolldaten

G 2.23 Schwachstellen bei der Einbindung von DOS-PCs in ein servergestütztes Netz - entfallen

G 2.24 Vertraulichkeitsverlust schutzbedürftiger Daten des zu schützenden Netzes

G 2.25 Einschränkung der Übertragungs- oder Bearbeitungsgeschwindigkeit durch Peer-to-Peer-Funktionalitäten - entfallen

G 2.26 Fehlendes oder unzureichendes Test- und Freigabeverfahren

G 2.27 Fehlende oder unzureichende Dokumentation

G 2.28 Verstöße gegen das Urheberrecht

G 2.29 Softwaretest mit Produktionsdaten

G 2.30 Unzureichende Domänenplanung - entfallen

G 2.31 Unzureichender Schutz des Windows NT Systems - entfallen

G 2.32 Unzureichende Leitungskapazitäten

G 2.33 Nicht gesicherter Aufstellungsort von Novell Netware Servern - entfallen

G 2.34 Fehlende oder unzureichende Aktivierung der Novell Netware Sicherheitsmechanismen - entfallen

G 2.35 Fehlende Protokollierung unter Windows 95 - entfallen

G 2.36 Ungeeignete Einschränkung der Benutzerumgebung

G 2.37 Unkontrollierter Aufbau von Kommunikationsverbindungen

G 2.38 Fehlende oder unzureichende Aktivierung von Datenbank-Sicherheitsmechanismen

G 2.39 Mangelhafte Konzeption eines DBMS

G 2.40 Mangelhafte Konzeption des Datenbankzugriffs

G 2.41 Mangelhafte Organisation des Wechsels von Datenbank-Benutzern

G 2.42 Komplexität der NDS - entfallen

G 2.43 Migration von Novell Netware 3.x nach Novell Netware Version 4 - entfallen

G 2.44 Inkompatible aktive Netzkomponenten

G 2.45 Konzeptionelle Schwächen des Netzes

G 2.46 Überschreiten der zulässigen Kabellänge

G 2.47 Ungesicherter Akten- und Datenträgertransport

G 2.48 Ungeeignete Entsorgung der Datenträger und Dokumente

G 2.49 Fehlende oder unzureichende Schulung der Telearbeiter

G 2.50 Verzögerungen durch temporär eingeschränkte Erreichbarkeit der Telearbeiter

G 2.51 Mangelhafte Einbindung des Telearbeiters in den Informationsfluss

G 2.52 Erhöhte Reaktionszeiten bei IT-Systemausfall - entfallen

G 2.53 Unzureichende Vertretungsregelungen für Telearbeit

G 2.54 Vertraulichkeitsverlust durch Restinformationen

G 2.55 Ungeordnete Groupware-Nutzung

G 2.56 Mangelhafte Beschreibung von Dateien - entfallen

G 2.57 Nicht ausreichende Speichermedien für den Notfall

G 2.58 Novell Netware und die Datumsumstellung im Jahr 2000 - entfallen

G 2.59 Betreiben von nicht angemeldeten Komponenten

G 2.60 Fehlende oder unzureichende Strategie für das Netz- und Systemmanagement

G 2.61 Unberechtigte Sammlung personenbezogener Daten

G 2.62 Ungeeigneter Umgang mit Sicherheitsvorfällen

G 2.63 Ungeordnete Faxnutzung

G 2.64 Fehlende Regelungen für das RAS-System - entfallen

G 2.65 Komplexität der SAMBA-Konfiguration - entfallen

G 2.66 Unzureichendes Sicherheitsmanagement

G 2.67 Ungeeignete Verwaltung von Zutritts-, Zugangs- und Zugriffsrechten

G 2.68 Fehlende oder unzureichende Planung des Active Directory

G 2.69 Fehlende oder unzureichende Planung des Einsatzes von Novell eDirectory

G 2.70 Fehlerhafte oder unzureichende Planung der Partitionierung und Replizierung im Novell eDirectory

G 2.71 Fehlerhafte oder unzureichende Planung des LDAP-Zugriffs auf Novell eDirectory

G 2.72 Unzureichende Migration von Archivsystemen

G 2.73 Fehlende Revisionsmöglichkeit von Archivsystemen

G 2.74 Unzureichende Ordnungskriterien für Archive

G 2.75 Mangelnde Kapazität von Archivdatenträgern

G 2.76 Unzureichende Dokumentation von Archivzugriffen

G 2.77 Unzulängliche Übertragung von Papierdaten in elektronische Archive

G 2.78 Unzulängliche Auffrischung von Datenbeständen bei der Archivierung

G 2.79 Unzureichende Erneuerung von digitalen Signaturen bei der Archivierung

G 2.80 Unzureichende Durchführung von Revisionen bei der Archivierung

G 2.81 Unzureichende Vernichtung von Datenträgern bei der Archivierung

G 2.82 Fehlerhafte Planung des Aufstellungsortes von Speicher- und Archivsystemen

G 2.83 Fehlerhafte Outsourcing-Strategie

G 2.84 Unzulängliche vertragliche Regelungen mit einem externen Dienstleister

G 2.85 Unzureichende Regelungen für das Ende eines Outsourcing- oder eines Cloud-Nutzungs-Vorhabens

G 2.86 Abhängigkeit von einem Outsourcing- oder Cloud-Dienstleister

G 2.87 Verwendung unsicherer Protokolle in öffentlichen Netzen

G 2.88 Störung des Betriebsklimas durch ein Outsourcing-Vorhaben

G 2.89 Mangelhafte Informationssicherheit in der Outsourcing-Einführungsphase

G 2.90 Schwachstellen bei der Anbindung an einen Outsourcing-Dienstleister - entfallen

G 2.91 Fehlerhafte Planung der Migration von Exchange

G 2.92 Fehlerhafte Regelungen für den Browser-Zugriff auf Exchange

G 2.93 Unzureichendes Notfallvorsorgekonzept bei Outsourcing oder Cloud-Nutzung

G 2.94 Unzureichende Planung des IIS-Einsatzes - entfallen

G 2.95 Fehlendes Konzept zur Anbindung anderer Systeme an Exchange

G 2.96 Veraltete oder falsche Informationen in einem Webangebot

G 2.97 Unzureichende Notfallplanung bei einem Apache-Webserver - entfallen

G 2.98 Fehlerhafte Planung und Konzeption des Einsatzes von Routern und Switches

G 2.99 Unzureichende oder fehlerhafte Konfiguration der zSeries-Systemumgebung

G 2.100 Fehler bei der Beantragung und Verwaltung von Internet-Domainnamen

G 2.101 Unzureichende Notfallvorsorge bei einem Sicherheitsgateway

G 2.102 Unzureichende Sensibilisierung für Informationssicherheit

G 2.103 Unzureichende Schulung der Mitarbeiter

G 2.104 Inkompatibilität zwischen fremder und eigener IT

G 2.105 Verstoß gegen gesetzliche Regelungen und vertragliche Vereinbarungen

G 2.106 Störung der Geschäftsabläufe aufgrund von Sicherheitsvorfällen

G 2.107 Unwirtschaftlicher Umgang mit Ressourcen durch unzureichendes Sicherheitsmanagement

G 2.108 Fehlende oder unzureichende Planung des SAP Einsatzes

G 2.109 Fehlende oder unzureichende Planung der Speicherlösung

G 2.110 Mangelhafte Organisation bei Versionswechsel und Migration von Datenbanken

G 2.111 Kompromittierung von Anmeldedaten bei Dienstleisterwechsel

G 2.112 Unzureichende Planung von VoIP

G 2.113 Unzureichende Planung der Netzkapazität beim Einsatz von VoIP

G 2.114 Uneinheitliche Windows-Server-Sicherheitseinstellungen bei SMB, RPC und LDAP

G 2.115 Ungeeigneter Umgang mit den Standard-Sicherheitsgruppen ab Windows Server 2003

G 2.116 Datenverlust beim Kopieren oder Verschieben von Daten ab Windows Server 2003

G 2.117 Fehlende oder unzureichende Planung des WLAN-Einsatzes

G 2.118 Unzureichende Regelungen zum WLAN-Einsatz

G 2.119 Ungeeignete Auswahl von WLAN-Authentikationsverfahren

G 2.120 Ungeeignete Aufstellung von sicherheitsrelevanten IT-Systemen

G 2.121 Unzureichende Kontrolle von WLANs

G 2.122 Ungeeigneter Einsatz von Multifunktionsgeräten

G 2.123 Fehlende oder unzureichende Planung des Einsatzes von Verzeichnisdiensten

G 2.124 Fehlerhafte oder unzureichende Planung der Partitionierung und Replizierung im Verzeichnisdienst

G 2.125 Fehlerhafte oder unzureichende Planung des Zugriffs auf den Verzeichnisdienst

G 2.126 Unzureichende Protokollierung von Änderungen am Active Directory

G 2.127 Unzureichende Planung von Datensicherungsmethoden für Domänen-Controller

G 2.128 Fehlende oder unzureichende Planung des VPN-Einsatzes

G 2.129 Fehlende oder unzureichende Regelungen zum VPN-Einsatz

G 2.130 Ungeeignete Auswahl von VPN-Verschlüsselungsverfahren

G 2.131 Unzureichende Kontrolle von VPNs

G 2.132 Mangelnde Berücksichtigung von Geschäftsprozessen beim Patch- und Änderungsmanagement

G 2.133 Mangelhaft festgelegte Verantwortlichkeiten beim Patch- und Änderungsmanagement

G 2.134 Unzureichende Ressourcen beim Patch- und Änderungsmanagement

G 2.135 Mangelhafte Kommunikation beim Patch- und Änderungsmanagement

G 2.136 Fehlende Übersicht über den Informationsverbund

G 2.137 Fehlende und unzureichende Planung bei der Verteilung von Patches und Änderungen

G 2.138 Mangelhafte Wiederherstellungsoptionen beim Patch- und Änderungsmanagement

G 2.139 Mangelhafte Berücksichtigung von mobilen Endgeräten beim Patch- und Änderungsmanagement

G 2.140 Unzureichendes Notfallvorsorgekonzept für das Patch- und Änderungsmanagement

G 2.141 Nicht erkannte Sicherheitsvorfälle

G 2.142 Zerstörung von Beweisspuren bei der Behandlung von Sicherheitsvorfällen

G 2.143 Informationsverlust beim Kopieren oder Verschieben von Daten auf Samba-Freigaben

G 2.144 Unzureichende Notfall-Planung bei einem Samba-Server

G 2.145 Unzureichende Sicherung von Trivial Database Dateien unter Samba

G 2.146 Verlust der Arbeitsfähigkeit von Vista-Clients durch fehlende Reaktivierung vor SP1

G 2.147 Fehlende Zentralisierung durch Peer-to-Peer

G 2.148 Fehlerhafte Planung der Virtualisierung

G 2.149 Nicht ausreichende Speicherkapazität für virtuelle IT-Systeme

G 2.150 Fehlerhafte Integration von Gastwerkzeugen in virtuellen IT-Systemen

G 2.151 Fehlende Herstellerunterstützung von Applikationen für den Einsatz auf virtuellen IT-Systemen

G 2.152 Fehlende oder unzureichende Planung des DNS-Einsatzes

G 2.153 Ungeeignete Sicherung des Übertragungsweges in einer Terminalserver Umgebung

G 2.154 Ungeeignete Anwendungen für den Einsatz auf Terminalservern

G 2.155 Fehlende oder unzureichende Planung von OpenLDAP

G 2.156 Kompatibilitätsprobleme beim Anheben der Active Directory-Funktionsebene

G 2.157 Mangelhafte Auswahl oder Konzeption von Webanwendungen

G 2.158 Mängel bei der Entwicklung und der Erweiterung von Webanwendungen und Web-Services

G 2.159 Unzureichender Schutz personenbezogener Daten bei Webanwendungen und Web-Services

G 2.160 Fehlende oder unzureichende Protokollierung

G 2.161 Vertraulichkeits- und Integritätsverlust von Protokolldaten

G 2.162 Fehlende Zulässigkeit der Verarbeitung personenbezogener Daten

G 2.163 Nichteinhaltung der Zweckbindung bei der Verarbeitung personenbezogener Daten

G 2.164 Überschreitung des Erforderlichkeitsgrundsatzes bei der Verarbeitung personenbezogener Daten

G 2.165 Fehlende oder unzureichende Datenvermeidung und Datensparsamkeit bei der Verarbeitung personenbezogener Daten

G 2.166 Verletzung des Datengeheimnisses bei der Verarbeitung personenbezogener Daten

G 2.167 Fehlende oder nicht ausreichende Vorabkontrolle

G 2.168 Gefährdung der Rechte Betroffener bei der Verarbeitung personenbezogener Daten

G 2.169 Fehlende oder unzureichende Absicherung der Datenverarbeitung im Auftrag bei der Verarbeitung personenbezogener Daten

G 2.170 Fehlende Transparenz für den Betroffenen und die Datenschutz-Kontrollinstanzen

G 2.171 Gefährdung vorgegebener Kontrollziele bei der Verarbeitung personenbezogener Daten

G 2.172 Fehlende oder unzureichende Absicherung der Verarbeitung personenbezogener Daten im Ausland

G 2.173 Unzulässige automatisierten Einzelfallentscheidungen oder Abrufe bei der Verarbeitung personenbezogener Daten

G 2.174 Fehlende oder unzureichende Datenschutzkontrolle

G 2.175 Unzureichende Isolation und Trennung von Cloud-Ressourcen

G 2.176 Mangelnde Kommunikation zwischen Cloud-Diensteanbieter und Cloud-Anwender

G 2.177 Fehlplanung von Cloud-Diensteprofilen

G 2.178 Unzureichendes Notfallmanagement beim Cloud-Diensteanbieter

G 2.179 Fehlende Herstellerunterstützung bei der Bereitstellung von Cloud-Diensten

G 2.180 Fehlerhafte Provisionierung und De-Provisionierung von Cloud-Diensten

G 2.181 Mangelhafte Planung und Konzeption des Einsatzes von Web-Services

G 2.182 Fehlendes oder unzureichendes Betreiberkonzept für Speicherlösungen

G 2.183 Fehlendes oder unzureichendes Zonenkonzept

G 2.184 Fehlendes oder unzureichendes Rechte- und Rollenkonzept in Cloud-Infrastrukturen

G 2.185 Fehlende oder unzureichende Softwarewartung (Maintenance) und fehlendes oder unzureichendes Patchlevel-Management

G 2.186 Fehlende oder unzureichende Regelungen / keine klare Abgrenzung von Verantwortlichkeiten bei Speicherlösungen

G 2.187 Fehlendes oder unzureichendes mandantenfähiges Administrationskonzept für Speicherlösungen

G 2.188 Unzureichende Vorgaben zum Lizenzmanagement bei Cloud-Nutzung

G 2.189 Fehlende oder unzureichende Strategie für die Cloud-Nutzung

G 2.190 Unzureichendes Administrationsmodell für die Cloud-Nutzung

G 2.191 Unzureichendes Rollen- und Berechtigungskonzept

G 2.192 Unzureichende Verfügbarkeit der erforderlichen personellen Ressourcen mit ausreichender Qualifikation

G 2.193 Fehlende Anpassung der Institution an die Nutzung von Cloud Services

G 2.194 Mangelhaftes Anforderungsmanagement bei Cloud-Nutzung

G 2.195 Mangelnde Überwachung der Service-Erbringung

G 2.196 Fehlende Kosten-Nutzen-Betrachtung der Cloud-Nutzung über den gesamten Lebenszyklus

G 2.197 Unzureichende Einbindung von Cloud Services in die eigene IT

G 2.198 Mangelnde Planung der Migration zu Cloud Services

G 2.199 Unzureichende Auswahl des Cloud-Diensteanbieters

G 2.200 Unzureichende Planung bei der Anschaffung von Mobiltelefonen, Smartphones, Tablets oder PDAs

G 2.201 Unzureichende Berücksichtigung von Veränderungen im Arbeitsumfeld von Mitarbeitern

G 2.202 Lock-in-Effekt

G 2.203 Integrierte Cloud-Funktionalität

G 2.204 TPM-Nutzung

G 2.205 Fehlendes Notfallvorsorgekonzept für serviceorientierte Architekturen

G 2.206 Unzureichende Sicherheitsanforderungen bei der Entwicklung von eingebetteten Systemen

G 2.207 Ungesicherte Ein- und Ausgabe-Schnittstellen bei eingebetteten Systemen

G 2.208 Unzureichende physische Absicherung der elektronischen Komponenten bei eingebetteten Systemen

G 2.209 Auswahl einer ungeeigneten Entwicklungsumgebung für Software

G 2.210 Unzureichend gesicherter Einsatz von Entwicklungsumgebungen

G 2.211 Auswahl eines ungeeigneten Vorgehensmodells zur Software-Entwicklung

G 2.212 Unzureichende Berücksichtigung von Konfigurationsoptionen bei der Software-Entwicklung

G 2.213 Fehlende oder unzureichende Qualitätssicherung des Softwareentwicklungsprozesses

G 2.214 Fehlende oder unzureichende Konzeption des Identitäts- und Berechtigungsmanagements

Stand: 15. EL Stand 2016

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK