--- tags: - meeting - upnote-import date: 2025-11-06 --- # 2025-11-06 — internes Audit VIA ## ℹ️ Datum ## 👥 Teilnehmer - Luca Epe - Jonas Kümhof - ## 📒 Thema >
## 📖 Notizen ### 2025-11-06 - KRAH - Meldeadresse für Informationssicherheitsvorfälle der Kunden in SP Liste mit den Kundenanforderungen ergänzen - prüfen, ob das in SAP hinterlegt werden sollte - Anforderung 1.2.3 - Vorabkontrolle - Ort des Repository - Code und Speicherort - Vorlage gibt uns die VIA - Access-Manager hat den Prozess nicht durchlaufen - Reputation des Software-Dienstleisters - nachträglich durchlaufen lassen -  Verfahrensverzeichnis auf aktuellen Stand bringen - Access-Manager und neues Datum - Löschfrist für Videoüberwachung ergänzen „siehe Betriebsvereinbarung“ - WITEC entfernen - inaktive User nach 2 Jahren löschen, definieren und umsetzen - TISAX fordert die Löschung - Todo - Sicherheitsrichtlinie - Zonenkonzept - Benutzerrichtlinie - Display-Schutz nicht auf Lager - Ergänzung: - verwendete Schlüsselstärken mit der Empfehlung des BSI abgleichen - jährlich wiederkehrende Aufgabe anlegen - [Nutzung kryptografisch... | WIKI KIT](https://wikiit.krah-gruppe.de/books/it-richtlinie/page/nutzung-kryptografischer-verfahren) - mit Screenshots ergänzen - Lebenszyklus - Jonas liefert ein Beispiel - „Schlüsselhoheit liegt immer in der IT“ ergänzen - 5.1.2: Netzwerkdienste - Jonas liefert Text - heutige Beschreibung über IT-Dienstleister nicht mehr ausreichend - VPN, RDP, E-Mail - auflisten und beschreiben  - Härtung Server - noch offen - tbd in Handbuch - Termin im Team in Maßnahmen sammeln - „Standardmaßnahmen“ + Maßnahmen pro Server - CSOC kein 24/7 in Risikobewertung aufnehmen - [Nutzung kryptografisch... | WIKI KIT](https://wikiit.krah-gruppe.de/books/it-richtlinie/page/nutzung-kryptografischer-verfahren) - muss künftig zwingend für jedes streng vertrauliche Projekt aktiviert werden - 5.2.7: NAC für TISAX künftig zwingend erforderlich → Authentifizierung von Netzwerkgeräten - [x] sharing CIM-Database Dokumente mit extern Teilen klären - [ ] Meldung Informationssicherheit → Ticket erzeugen - [ ] Planung NAC Beschaffung TODOs: - internal Migration rückwärts terminieren  - wöchentliche Updates, Zusatztermin - Sensibilisierung TISAX, alle müssen die Anforderungen lesen und verstehen  - NAC Projekt muss zum Audit gestartet sein - diverse Themen aus der Begehung - FMEA Zugriff, PC im Internet, Bereich  - [ ] Assetliste - secondary asset → Verantwortlichkeiten ergänzen ### 2025-11-06 - RESISTEC - Festlegung Verantwortlichkeiten Kürzel, statt Namen verwenden - LANdata kein AVV - gelöst mit Sophos AVV - keine BV zum Home-Office vorhanden, Dokumente von RES übersetzen und separat prüfen - festplatten nach ISO21964 vernichten -