Compliance-Lexikon · Praxis
Cyber Hygiene – Praxis
Cyber Hygiene ist im Audit der Einstiegspruefpunkt: Auditoren schauen zuerst nach den Basics – und finden dort haeufig die gravierendsten Luecken. Was konkret geprueft wird und welche Evidence benoetigt wird, zeigt dieser Abschnitt.
Was Auditoren konkret pruefen
Bei einer Pruefung von Cyber Hygiene prueft der Auditor systematisch alle Basismassnahmen auf Vollstaendigkeit und Nachweis. Das BAM-Objekt CROSS-CH-01 definiert, was konkret vorgelegt werden muss.
Haeufige Fehler
- Patch-Management ohne definierte Fristen und ohne Nachweis der Einhaltung
- MFA-Ausnahmen undokumentiert
- Backup-Logs vorhanden, aber kein Wiederherstellungstest-Protokoll
- Sicherheitsschulungen durchgefuehrt, aber keine Teilnehmerlisten
Praxis-Tipp
Fuer Cyber Hygiene gilt: Die einfachste Massnahme ist oft die mit dem groessten Impact. Ein vollstaendig gepatchtes System und lueckenlose MFA verhindern mehr Angriffe als die aufwendigsten EDR-Loesungen auf ungepatchten Systemen.
Umsetzung Schritt fuer Schritt
Erster Schritt: Alle sechs Kernelement inventarisieren und aktuellen Status dokumentieren. Zweiter Schritt: Luecken priorisieren nach Risikoexposition. Dritter Schritt: Patch-Management-Prozess mit definierten Fristen implementieren und im Ticketing-System nachverfolgen. Vierter Schritt: MFA-Abdeckung pruefen und Luecken schliessen. Fuenfter Schritt: Backup-Testprozess etablieren und dokumentieren. Sechster Schritt: Schulungsnachweis-System aufbauen.
Evidence-Anforderungen im Audit
Der Auditor erwartet: Patch-Status-Report (alle Systeme, offene Patches mit Alter), MFA-Abdeckungsnachweis, Backup-Testprotokoll, Zugriffsrechte-Review-Nachweis, Schulungsteilnehmerlisten und Ergebnisse aus Phishing-Simulationen.
Naechster Schritt
Stresstest starten
Kostenloser Compliance-Stresstest – NIS-2-Grundhygiene in 20 Minuten.
Die strategische Einordnung – warum Cyber Hygiene langfristig mehr als ein Basisprogramm ist – findet sich auf Ebene 3.