Bundesamt für Sicherheit in der Informationstechnik

G 2 Organisatorische Mängel

G 2.1 Fehlende oder unzureichende Regelungen

G 2.2 Unzureichende Kenntnis über Regelungen

G 2.3 Fehlende, ungeeignete, inkompatible Betriebsmittel

G 2.4 Unzureichende Kontrolle der Sicherheitsmaßnahmen

G 2.5 Fehlende oder unzureichende Wartung

G 2.6 Unbefugter Zutritt zu schutzbedürftigen Räumen

G 2.7 Unerlaubte Ausübung von Rechten

G 2.8 Unkontrollierter Einsatz von Betriebsmitteln

G 2.9 Mangelhafte Anpassung an Veränderungen beim IT-Einsatz

G 2.10 Nicht fristgerecht verfügbare Datenträger

G 2.11 Unzureichende Trassendimensionierung

G 2.12 Unzureichende Dokumentation der Verkabelung

G 2.13 Unzureichend geschützte Verteiler

G 2.14 Beeinträchtigung der IT-Nutzung durch ungünstige Arbeitsbedingungen

G 2.15 Vertraulichkeitsverlust schutzbedürftiger Daten im Unix-System

G 2.16 Ungeordneter Benutzerwechsel bei tragbaren PCs

G 2.17 Mangelhafte Kennzeichnung der Datenträger

G 2.18 Ungeregelte Weitergabe von Datenträgern

G 2.19 Unzureichendes Schlüsselmanagement bei Verschlüsselung

G 2.20 Unzureichende oder falsche Versorgung mit Verbrauchsgütern

G 2.21 Mangelhafte Organisation des Wechsels zwischen den Benutzern

G 2.22 Fehlende oder unzureichende Auswertung von Protokolldaten

G 2.23 Schwachstellen bei der Einbindung von DOS-PCs in ein servergestütztes Netz - entfallen

G 2.24 Vertraulichkeitsverlust schutzbedürftiger Daten des zu schützenden Netzes

G 2.25 Einschränkung der Übertragungs- oder Bearbeitungsgeschwindigkeit durch Peer-to-Peer-Funktionalitäten - entfallen

G 2.26 Fehlendes oder unzureichendes Test- und Freigabeverfahren

G 2.27 Fehlende oder unzureichende Dokumentation

G 2.28 Verstöße gegen das Urheberrecht

G 2.29 Softwaretest mit Produktionsdaten

G 2.30 Unzureichende Domänenplanung - entfallen

G 2.31 Unzureichender Schutz des Windows NT Systems - entfallen

G 2.32 Unzureichende Leitungskapazitäten

G 2.33 Nicht gesicherter Aufstellungsort von Novell Netware Servern - entfallen

G 2.34 Fehlende oder unzureichende Aktivierung der Novell Netware Sicherheitsmechanismen - entfallen

G 2.35 Fehlende Protokollierung unter Windows 95 - entfallen

G 2.36 Ungeeignete Einschränkung der Benutzerumgebung

G 2.37 Unkontrollierter Aufbau von Kommunikationsverbindungen

G 2.38 Fehlende oder unzureichende Aktivierung von Datenbank-Sicherheitsmechanismen

G 2.39 Mangelhafte Konzeption eines DBMS

G 2.40 Mangelhafte Konzeption des Datenbankzugriffs

G 2.41 Mangelhafte Organisation des Wechsels von Datenbank-Benutzern

G 2.42 Komplexität der NDS - entfallen

G 2.43 Migration von Novell Netware 3.x nach Novell Netware Version 4 - entfallen

G 2.44 Inkompatible aktive Netzkomponenten

G 2.45 Konzeptionelle Schwächen des Netzes

G 2.46 Überschreiten der zulässigen Kabellänge

G 2.47 Ungesicherter Akten- und Datenträgertransport

G 2.48 Ungeeignete Entsorgung der Datenträger und Dokumente

G 2.49 Fehlende oder unzureichende Schulung der Telearbeiter

G 2.50 Verzögerungen durch temporär eingeschränkte Erreichbarkeit der Telearbeiter

G 2.51 Mangelhafte Einbindung des Telearbeiters in den Informationsfluss

G 2.52 Erhöhte Reaktionszeiten bei IT-Systemausfall - entfallen

G 2.53 Unzureichende Vertretungsregelungen für Telearbeit

G 2.54 Vertraulichkeitsverlust durch Restinformationen

G 2.55 Ungeordnete Groupware-Nutzung

G 2.56 Mangelhafte Beschreibung von Dateien - entfallen

G 2.57 Nicht ausreichende Speichermedien für den Notfall

G 2.58 Novell Netware und die Datumsumstellung im Jahr 2000 - entfallen

G 2.59 Betreiben von nicht angemeldeten Komponenten

G 2.60 Fehlende oder unzureichende Strategie für das Netz- und Systemmanagement

G 2.61 Unberechtigte Sammlung personenbezogener Daten

G 2.62 Ungeeigneter Umgang mit Sicherheitsvorfällen

G 2.63 Ungeordnete Faxnutzung

G 2.64 Fehlende Regelungen für das RAS-System - entfallen

G 2.65 Komplexität der SAMBA-Konfiguration - entfallen

G 2.66 Unzureichendes Sicherheitsmanagement

G 2.67 Ungeeignete Verwaltung von Zutritts-, Zugangs- und Zugriffsrechten

G 2.68 Fehlende oder unzureichende Planung des Active Directory

G 2.69 Fehlende oder unzureichende Planung des Einsatzes von Novell eDirectory

G 2.70 Fehlerhafte oder unzureichende Planung der Partitionierung und Replizierung im Novell eDirectory

G 2.71 Fehlerhafte oder unzureichende Planung des LDAP-Zugriffs auf Novell eDirectory

G 2.72 Unzureichende Migration von Archivsystemen

G 2.73 Fehlende Revisionsmöglichkeit von Archivsystemen

G 2.74 Unzureichende Ordnungskriterien für Archive

G 2.75 Mangelnde Kapazität von Archivdatenträgern

G 2.76 Unzureichende Dokumentation von Archivzugriffen

G 2.77 Unzulängliche Übertragung von Papierdaten in elektronische Archive

G 2.78 Unzulängliche Auffrischung von Datenbeständen bei der Archivierung

G 2.79 Unzureichende Erneuerung von digitalen Signaturen bei der Archivierung

G 2.80 Unzureichende Durchführung von Revisionen bei der Archivierung

G 2.81 Unzureichende Vernichtung von Datenträgern bei der Archivierung

G 2.82 Fehlerhafte Planung des Aufstellungsortes von Speicher- und Archivsystemen

G 2.83 Fehlerhafte Outsourcing-Strategie

G 2.84 Unzulängliche vertragliche Regelungen mit einem externen Dienstleister

G 2.85 Unzureichende Regelungen für das Ende eines Outsourcing- oder eines Cloud-Nutzungs-Vorhabens

G 2.86 Abhängigkeit von einem Outsourcing- oder Cloud-Dienstleister

G 2.87 Verwendung unsicherer Protokolle in öffentlichen Netzen

G 2.88 Störung des Betriebsklimas durch ein Outsourcing-Vorhaben

G 2.89 Mangelhafte Informationssicherheit in der Outsourcing-Einführungsphase

G 2.90 Schwachstellen bei der Anbindung an einen Outsourcing-Dienstleister - entfallen

G 2.91 Fehlerhafte Planung der Migration von Exchange

G 2.92 Fehlerhafte Regelungen für den Browser-Zugriff auf Exchange

G 2.93 Unzureichendes Notfallvorsorgekonzept bei Outsourcing oder Cloud-Nutzung

G 2.94 Unzureichende Planung des IIS-Einsatzes - entfallen

G 2.95 Fehlendes Konzept zur Anbindung anderer Systeme an Exchange

G 2.96 Veraltete oder falsche Informationen in einem Webangebot

G 2.97 Unzureichende Notfallplanung bei einem Apache-Webserver - entfallen

G 2.98 Fehlerhafte Planung und Konzeption des Einsatzes von Routern und Switches

G 2.99 Unzureichende oder fehlerhafte Konfiguration der zSeries-Systemumgebung

G 2.100 Fehler bei der Beantragung und Verwaltung von Internet-Domainnamen

G 2.101 Unzureichende Notfallvorsorge bei einem Sicherheitsgateway

G 2.102 Unzureichende Sensibilisierung für Informationssicherheit

G 2.103 Unzureichende Schulung der Mitarbeiter

G 2.104 Inkompatibilität zwischen fremder und eigener IT

G 2.105 Verstoß gegen gesetzliche Regelungen und vertragliche Vereinbarungen

G 2.106 Störung der Geschäftsabläufe aufgrund von Sicherheitsvorfällen

G 2.107 Unwirtschaftlicher Umgang mit Ressourcen durch unzureichendes Sicherheitsmanagement

G 2.108 Fehlende oder unzureichende Planung des SAP Einsatzes

G 2.109 Fehlende oder unzureichende Planung der Speicherlösung

G 2.110 Mangelhafte Organisation bei Versionswechsel und Migration von Datenbanken

G 2.111 Kompromittierung von Anmeldedaten bei Dienstleisterwechsel

G 2.112 Unzureichende Planung von VoIP

G 2.113 Unzureichende Planung der Netzkapazität beim Einsatz von VoIP

G 2.114 Uneinheitliche Windows-Server-Sicherheitseinstellungen bei SMB, RPC und LDAP

G 2.115 Ungeeigneter Umgang mit den Standard-Sicherheitsgruppen ab Windows Server 2003

G 2.116 Datenverlust beim Kopieren oder Verschieben von Daten ab Windows Server 2003

G 2.117 Fehlende oder unzureichende Planung des WLAN-Einsatzes

G 2.118 Unzureichende Regelungen zum WLAN-Einsatz

G 2.119 Ungeeignete Auswahl von WLAN-Authentikationsverfahren

G 2.120 Ungeeignete Aufstellung von sicherheitsrelevanten IT-Systemen

G 2.121 Unzureichende Kontrolle von WLANs

G 2.122 Ungeeigneter Einsatz von Multifunktionsgeräten

G 2.123 Fehlende oder unzureichende Planung des Einsatzes von Verzeichnisdiensten

G 2.124 Fehlerhafte oder unzureichende Planung der Partitionierung und Replizierung im Verzeichnisdienst

G 2.125 Fehlerhafte oder unzureichende Planung des Zugriffs auf den Verzeichnisdienst

G 2.126 Unzureichende Protokollierung von Änderungen am Active Directory

G 2.127 Unzureichende Planung von Datensicherungsmethoden für Domänen-Controller

G 2.128 Fehlende oder unzureichende Planung des VPN-Einsatzes

G 2.129 Fehlende oder unzureichende Regelungen zum VPN-Einsatz

G 2.130 Ungeeignete Auswahl von VPN-Verschlüsselungsverfahren

G 2.131 Unzureichende Kontrolle von VPNs

G 2.132 Mangelnde Berücksichtigung von Geschäftsprozessen beim Patch- und Änderungsmanagement

G 2.133 Mangelhaft festgelegte Verantwortlichkeiten beim Patch- und Änderungsmanagement

G 2.134 Unzureichende Ressourcen beim Patch- und Änderungsmanagement

G 2.135 Mangelhafte Kommunikation beim Patch- und Änderungsmanagement

G 2.136 Fehlende Übersicht über den Informationsverbund

G 2.137 Fehlende und unzureichende Planung bei der Verteilung von Patches und Änderungen

G 2.138 Mangelhafte Wiederherstellungsoptionen beim Patch- und Änderungsmanagement

G 2.139 Mangelhafte Berücksichtigung von mobilen Endgeräten beim Patch- und Änderungsmanagement

G 2.140 Unzureichendes Notfallvorsorgekonzept für das Patch- und Änderungsmanagement

G 2.141 Nicht erkannte Sicherheitsvorfälle

G 2.142 Zerstörung von Beweisspuren bei der Behandlung von Sicherheitsvorfällen

G 2.143 Informationsverlust beim Kopieren oder Verschieben von Daten auf Samba-Freigaben

G 2.144 Unzureichende Notfall-Planung bei einem Samba-Server

G 2.145 Unzureichende Sicherung von Trivial Database Dateien unter Samba

G 2.146 Verlust der Arbeitsfähigkeit von Vista-Clients durch fehlende Reaktivierung vor SP1

G 2.147 Fehlende Zentralisierung durch Peer-to-Peer

G 2.148 Fehlerhafte Planung der Virtualisierung

G 2.149 Nicht ausreichende Speicherkapazität für virtuelle IT-Systeme

G 2.150 Fehlerhafte Integration von Gastwerkzeugen in virtuellen IT-Systemen

G 2.151 Fehlende Herstellerunterstützung von Applikationen für den Einsatz auf virtuellen IT-Systemen

G 2.152 Fehlende oder unzureichende Planung des DNS-Einsatzes

G 2.153 Ungeeignete Sicherung des Übertragungsweges in einer Terminalserver Umgebung

G 2.154 Ungeeignete Anwendungen für den Einsatz auf Terminalservern

G 2.155 Fehlende oder unzureichende Planung von OpenLDAP

G 2.156 Kompatibilitätsprobleme beim Anheben der Active Directory-Funktionsebene

G 2.157 Mangelhafte Auswahl oder Konzeption von Webanwendungen

G 2.158 Mängel bei der Entwicklung und der Erweiterung von Webanwendungen und Web-Services

G 2.159 Unzureichender Schutz personenbezogener Daten bei Webanwendungen und Web-Services

G 2.160 Fehlende oder unzureichende Protokollierung

G 2.161 Vertraulichkeits- und Integritätsverlust von Protokolldaten

G 2.162 Fehlende Zulässigkeit der Verarbeitung personenbezogener Daten

G 2.163 Nichteinhaltung der Zweckbindung bei der Verarbeitung personenbezogener Daten

G 2.164 Überschreitung des Erforderlichkeitsgrundsatzes bei der Verarbeitung personenbezogener Daten

G 2.165 Fehlende oder unzureichende Datenvermeidung und Datensparsamkeit bei der Verarbeitung personenbezogener Daten

G 2.166 Verletzung des Datengeheimnisses bei der Verarbeitung personenbezogener Daten

G 2.167 Fehlende oder nicht ausreichende Vorabkontrolle

G 2.168 Gefährdung der Rechte Betroffener bei der Verarbeitung personenbezogener Daten

G 2.169 Fehlende oder unzureichende Absicherung der Datenverarbeitung im Auftrag bei der Verarbeitung personenbezogener Daten

G 2.170 Fehlende Transparenz für den Betroffenen und die Datenschutz-Kontrollinstanzen

G 2.171 Gefährdung vorgegebener Kontrollziele bei der Verarbeitung personenbezogener Daten

G 2.172 Fehlende oder unzureichende Absicherung der Verarbeitung personenbezogener Daten im Ausland

G 2.173 Unzulässige automatisierten Einzelfallentscheidungen oder Abrufe bei der Verarbeitung personenbezogener Daten

G 2.174 Fehlende oder unzureichende Datenschutzkontrolle

G 2.175 Unzureichende Isolation und Trennung von Cloud-Ressourcen

G 2.176 Mangelnde Kommunikation zwischen Cloud-Diensteanbieter und Cloud-Anwender

G 2.177 Fehlplanung von Cloud-Diensteprofilen

G 2.178 Unzureichendes Notfallmanagement beim Cloud-Diensteanbieter

G 2.179 Fehlende Herstellerunterstützung bei der Bereitstellung von Cloud-Diensten

G 2.180 Fehlerhafte Provisionierung und De-Provisionierung von Cloud-Diensten

G 2.181 Mangelhafte Planung und Konzeption des Einsatzes von Web-Services

G 2.182 Fehlendes oder unzureichendes Betreiberkonzept für Speicherlösungen

G 2.183 Fehlendes oder unzureichendes Zonenkonzept

G 2.184 Fehlendes oder unzureichendes Rechte- und Rollenkonzept in Cloud-Infrastrukturen

G 2.185 Fehlende oder unzureichende Softwarewartung (Maintenance) und fehlendes oder unzureichendes Patchlevel-Management

G 2.186 Fehlende oder unzureichende Regelungen / keine klare Abgrenzung von Verantwortlichkeiten bei Speicherlösungen

G 2.187 Fehlendes oder unzureichendes mandantenfähiges Administrationskonzept für Speicherlösungen

G 2.188 Unzureichende Vorgaben zum Lizenzmanagement bei Cloud-Nutzung

G 2.189 Fehlende oder unzureichende Strategie für die Cloud-Nutzung

G 2.190 Unzureichendes Administrationsmodell für die Cloud-Nutzung

G 2.191 Unzureichendes Rollen- und Berechtigungskonzept

G 2.192 Unzureichende Verfügbarkeit der erforderlichen personellen Ressourcen mit ausreichender Qualifikation

G 2.193 Fehlende Anpassung der Institution an die Nutzung von Cloud Services

G 2.194 Mangelhaftes Anforderungsmanagement bei Cloud-Nutzung

G 2.195 Mangelnde Überwachung der Service-Erbringung

G 2.196 Fehlende Kosten-Nutzen-Betrachtung der Cloud-Nutzung über den gesamten Lebenszyklus

G 2.197 Unzureichende Einbindung von Cloud Services in die eigene IT

G 2.198 Mangelnde Planung der Migration zu Cloud Services

G 2.199 Unzureichende Auswahl des Cloud-Diensteanbieters

G 2.200 Unzureichende Planung bei der Anschaffung von Mobiltelefonen, Smartphones, Tablets oder PDAs

G 2.201 Unzureichende Berücksichtigung von Veränderungen im Arbeitsumfeld von Mitarbeitern

G 2.202 Lock-in-Effekt

G 2.203 Integrierte Cloud-Funktionalität

G 2.204 TPM-Nutzung

G 2.205 Fehlendes Notfallvorsorgekonzept für serviceorientierte Architekturen

G 2.206 Unzureichende Sicherheitsanforderungen bei der Entwicklung von eingebetteten Systemen

G 2.207 Ungesicherte Ein- und Ausgabe-Schnittstellen bei eingebetteten Systemen

G 2.208 Unzureichende physische Absicherung der elektronischen Komponenten bei eingebetteten Systemen

G 2.209 Auswahl einer ungeeigneten Entwicklungsumgebung für Software

G 2.210 Unzureichend gesicherter Einsatz von Entwicklungsumgebungen

G 2.211 Auswahl eines ungeeigneten Vorgehensmodells zur Software-Entwicklung

G 2.212 Unzureichende Berücksichtigung von Konfigurationsoptionen bei der Software-Entwicklung

G 2.213 Fehlende oder unzureichende Qualitätssicherung des Softwareentwicklungsprozesses

G 2.214 Fehlende oder unzureichende Konzeption des Identitäts- und Berechtigungsmanagements

Stand: 15. EL Stand 2016