1. Backup-Strategie
★ 3-2-1-Regel umgesetzt? (3 Kopien, 2 Medien, 1 offsite.) ★ Restore-Test im letzten Quartal durchgeführt? ★ Werden auch M365-Daten gesichert (Microsoft sichert nicht, wie viele denken)? Notwendig wenn: „nein" auf eine dieser Fragen.
2. Multi-Faktor-Authentifizierung (MFA)
★ Alle Mitarbeitenden mit MFA für E-Mail und Cloud-Tools? ★ Conditional Access aktiv? ★ Admin-Accounts mit härterer MFA (z. B. FIDO2-Key)? Notwendig wenn: MFA nicht flächendeckend.
3. Patch-Management
★ OS-Updates innerhalb 14 Tagen nach Release ausgerollt? ★ Anwendungs-Updates (Browser, Office) automatisch? ★ Server-Patches im definierten Wartungsfenster? Notwendig wenn: „läuft schon irgendwie".
4. Hardware-Standardisierung
★ Einheitliche Notebook-Modelle (max. 2 verschiedene)? ★ Vorkonfigurierte Images für Neulinge? ★ Geräte-Inventar mit Seriennummern? Notwendig wenn: Wildwuchs nach jahrelangem Ad-hoc-Kauf.
5. Rollen- und Rechte-Konzept
★ Schriftliches Konzept, wer auf was Zugriff hat? ★ Regelmäßige Reviews (mind. halbjährlich)? ★ Trennung von Admin- und Nutzer-Accounts? Notwendig wenn: „weiß keiner so genau".
6. Microsoft 365-Konfiguration
★ Tenant nach Best-Practices aufgesetzt? ★ SharePoint-Berechtigungen aufgeräumt? ★ External-Sharing kontrolliert? ★ OneDrive Known-Folder-Move aktiv? Notwendig wenn: M365 „läuft halt".
7. Netzwerk-Architektur
★ VLAN-Trennung Gäste/Mitarbeiter/Server? ★ Gäste-WLAN ohne Zugang zur Firmen-Infrastruktur? ★ WPA3 oder mindestens WPA2-Enterprise? Notwendig wenn: ein flaches Netz für alles.
8. Offboarding-Prozess
★ Schriftliche Offboarding-Checkliste? ★ Zugänge werden am Austritts-Tag deaktiviert? ★ Daten werden archiviert, nicht gelöscht? Notwendig wenn: Ad-hoc-Vorgehen.
9. AV-Verträge
★ AV-Vertrag mit allen Cloud-Anbietern (M365, CRM, Newsletter etc.)? ★ Verzeichnis aller Auftragsverarbeiter aktuell? ★ DSGVO-Folgenabschätzung für kritische Verarbeitungen? Notwendig wenn: lückenhaft.
10. Notfall-Plan
★ Schriftlich dokumentiert, wer im IT-Notfall was tut? ★ Notfall-Test mindestens jährlich? ★ Notfall-Kontakte aktuell (auch bei Urlaub)? Notwendig wenn: „klären wir, wenns soweit ist".
11. Inventar
★ Geräte- und Lizenz-Register aktuell? ★ Kostenpflichtige Lizenzen mit Auslaufdatum erfasst? ★ Wer hat welchen Zugang zu welcher Software? Notwendig wenn: Excel-Insel pflegt 1 Person.
12. Schatten-IT
★ Wissen Sie, welche Cloud-Tools von Mitarbeitenden genutzt werden? ★ Gibt es eine Whitelist erlaubter Tools? ★ Werden persönliche Dropbox-/Notion-Accounts für Firmendaten genutzt? Notwendig wenn: nie erfasst.