Informationssicherheitsrichtlinie Marketing Lama GmbH
Version 1.2
Datum: 23.04.2026
Dokumentenverantwortlich: Geschäftsführung
Freigabe durch: Geschäftsführung1. ZweckDiese Richtlinie definiert die strategischen und organisatorischen Grundsätze zur Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.Sie bildet die Grundlage des Informationssicherheits-Managementsystems (ISMS) gemäß ISO/IEC 27001.Ziel ist:Schutz von Unternehmens- und KundendatenEinhaltung gesetzlicher und vertraglicher AnforderungenReduzierung von InformationssicherheitsrisikenSicherstellung der GeschäftskontinuitätAufbau einer nachhaltigen Sicherheitskultur2. GeltungsbereichDiese Richtlinie gilt für:alle Geschäftsbereichealle Mitarbeitendenexterne Dienstleistersämtliche IT-SystemeCloud-InfrastrukturEntwicklungs-, Test- und Produktionsumgebungenpersonenbezogene und geschäftskritische Daten3. SicherheitszieleDie Organisation verfolgt folgende Informationssicherheitsziele:Schutz vor unbefugtem ZugriffSchutz vor Datenverlust oder ManipulationMinimierung von SystemausfällenGewährleistung gesetzlicher Compliancekontinuierliche Verbesserung des SicherheitsniveausSicherheitsziele werden regelmäßig überprüft und bei Bedarf angepasst.4. Einbettung in das ISMSDie Informationssicherheit wird systematisch gesteuert durch:risikobasiertes Vorgehendokumentierte Prozesseregelmäßige Überprüfung der Wirksamkeit von Maßnahmenkontinuierliche Verbesserung nach dem PDCA-PrinzipRisiken werden identifiziert, bewertet und behandelt.5. Governance & VerantwortlichkeitDie Geschäftsführung trägt die Gesamtverantwortung für Informationssicherheit.Sicherheitsverantwortlichkeiten sind definiert und dokumentiert.Alle Mitarbeitenden sind verpflichtet, sicherheitsrelevante Vorgaben einzuhalten.Diese Richtlinie wird mindestens 1x jährlich überprüft.6. ZugriffskontrolleZugriff nach dem Need-to-Know- und Least-Privilege-PrinzipIndividuelle BenutzerkontenKeine Shared-AccountsMulti-Faktor-Authentifizierung für privilegierte ZugängeRegelmäßige Überprüfung von BerechtigungenNutzung sicherer PasswortverwaltungsmechanismenZugriffe auf personenbezogene Daten erfolgen ausschließlich bei geschäftlicher Notwendigkeit.7. Infrastruktur- & NetzwerksicherheitBetrieb in kontrollierten Cloud-UmgebungenNutzung bevorzugt europäischer RegionenLogische NetzwerksegmentierungTrennung von Entwicklungs-, Test- und ProduktionsumgebungenZugriffskontrolle über Firewalls und Security-Group-RegelnKeine öffentlich erreichbaren AdministrationsschnittstellenVerschlüsselung von DatenübertragungenVerschlüsselte Speicherung sensibler DatenProtokollierung sicherheitsrelevanter EreignisseZusätzlich werden sicherheitsrelevante Netzwerkereignisse kontinuierlich überwacht.Cloud-native Monitoring- und Alerting-Mechanismen werden eingesetzt, um unautorisierte Zugriffe, ungewöhnliche Aktivitäten oder potenzielle Netzwerkbedrohungen frühzeitig zu erkennen und zu verhindern.8. EndgerätesicherheitAktivierte SicherheitsupdatesMalware-SchutzSystem-Firewall aktiviertBildschirmsperre bei InaktivitätPasswort- oder biometrisch geschützte GeräteServer-Systeme werden gehärtet betrieben, inklusive:eingeschränkter ZugriffsrechteSSH-Key-AuthentifizierungMinimierung offener PortsAuf allen unternehmensrelevanten Endgeräten ist eine aktuelle Endpoint-Protection- bzw. Antimalware-Lösung installiert und aktiv.Virendefinitionen sowie Sicherheitsupdates werden automatisch aktualisiert.8a. Sicherheitsgrundlagen (Security Baseline)Zur Sicherstellung eines sicheren täglichen Betriebs gelten folgende Mindestanforderungen:Verpflichtende Bildschirmsperre bei InaktivitätVerwendung komplexer, individueller PasswörterNutzung von Multi-Faktor-Authentifizierung für sicherheitsrelevante SystemeClean-Desk-Prinzip zur Vermeidung unbefugter EinsichtnahmeKeine Weitergabe von ZugangsdatenDiese Mindestanforderungen sind verbindlich für alle Mitarbeitenden.9. Sichere SoftwareentwicklungTrennung von Entwicklungs-, Test- und ProduktionsumgebungenKeine Speicherung von Secrets im Code-RepositoryCode-Reviews vor DeploymentRegelmäßige Aktualisierung von AbhängigkeitenLogging sicherheitsrelevanter EreignisseSicherheitsanforderungen werden bereits in der Designphase berücksichtigt10. DatenklassifizierungInformationen werden in folgende Schutzstufen eingeteilt:öffentlichinternvertraulichbesonders schutzbedürftigSchutzmaßnahmen richten sich nach der jeweiligen Klassifizierung.Die Klassifizierung bestimmt die anzuwendenden Schutzmaßnahmen.
Beispielsweise gilt:Vertrauliche und besonders schutzbedürftige Daten werden verschlüsselt übertragen.Besonders schutzbedürftige Daten werden zusätzlich verschlüsselt gespeichert.Zugriffe auf vertrauliche Daten werden protokolliert.11. DatensicherheitMinimierung personenbezogener DatenDSGVO-konforme VerarbeitungVerschlüsselte BackupsDokumentierte LöschkonzepteSchutz vor unbefugtem Zugriff12. Monitoring & ProtokollierungProtokollierung sicherheitsrelevanter EreignisseNachvollziehbare Dokumentation administrativer AktionenRegelmäßige Überprüfung von Log-DatenErkennung ungewöhnlicher Aktivitäten13. SchwachstellenmanagementRegelmäßige SicherheitsupdatesBewertung technischer SchwachstellenPriorisierte Behebung identifizierter RisikenReduzierung externer AngriffsflächenDetails sind in der Schwachstellen- und Bedrohungsmanagement-Richtlinie geregelt.14. Incident ManagementSicherheitsvorfälle werden gemäß der Vorfallsmanagement-Richtlinie behandelt.Dies umfasst:IdentifikationBewertungIsolationDokumentationexterne Benachrichtigung, sofern erforderlichNachbereitung15. Drittanbieter- und LieferkettenmanagementAuswahl vertrauenswürdiger AnbieterPrüfung von SicherheitsstandardsVertragliche Regelungen (z. B. Auftragsverarbeitung)Risikobasierte Bewertung externer Abhängigkeiten16. Schulung und SensibilisierungMitarbeitende werden regelmäßig zu Informationssicherheitsanforderungen geschult.Schulungen werden dokumentiert.17. Kontinuierliche VerbesserungDie Wirksamkeit des ISMS wird regelmäßig überprüft.Erkenntnisse aus:Sicherheitsvorfälleninternen ReviewsSchwachstellenanalysenführen zu Verbesserungsmaßnahmen.18. InkrafttretenDiese Richtlinie tritt mit Veröffentlichung in Kraft und ist verbindlich für alle betroffenen Personen.