AFANDI Docs / Security Baseline
← Zurück zur Übersicht Einstieg

Security Baseline

Pragmatische Security-Baseline für KMU/Einrichtungen: MFA, Verschlüsselung, Geräte-Grundschutz.

Betrieb Runbook Standard Test → Abnahme → Prod Rollback mitdenken

Kurz erklärt

Diese Seite beschreibt den Arbeitsstandard für Security Baseline – mit Fokus auf konkrete Entscheidungen statt allgemeiner Leitlinien.

Zentral sind hier vor allem welcher baseline-stand verpflichtend ist und welche ausnahmen akzeptiert werden, damit Teams denselben Maßstab anwenden.

Nachvollziehbar wird der Standard erst durch verlinkte Nachweise wie baseline-checks / scanner-ergebnisse und durch dokumentierte Grenzfälle/Ausnahmen.

PraxisfokusThemenspezifischPrüfbar

Wann diese Seite hilft

Typische Situationen, in denen diese Seite als Arbeitsdokument Mehrwert bringt – und wo eine andere Doku passender ist.

Typische Einsätze

  • wenn bei Security Baseline technische Standards zu technische mindeststandards und ausnahmen verbindlich dokumentiert werden müssen
  • wenn Teamwechsel/Vertretung denselben Ablauf für welcher baseline-stand verpflichtend ist sicher ausführen soll
  • wenn Störungen oder Changes zeigen, dass Nachweise wie baseline-checks / scanner-ergebnisse bisher fehlen
  • wenn Konfig- oder Betriebsabweichungen (z. B. baseline ist zu allgemein für reale systeme) wiederholt auftreten

Eher nicht passend bei

  • wenn es bei Security Baseline nur um einen einmaligen Einzelfall ohne Standardisierungsbedarf geht
  • wenn ein detailliertes Projektticket oder eine technische Schritt-für-Schritt-Anleitung gepflegt werden soll

Empfohlener Ablauf

Pragmatische Reihenfolge, die in der Praxis funktioniert – vom Scope bis zum Review.

  1. Ist-Stand und Scope für Security Baseline erfassen, inklusive technische mindeststandards und ausnahmen und kritischer Abhängigkeiten.
  2. Sollzustand / Standards festlegen; wichtig sind Entscheidungen zu welcher baseline-stand verpflichtend ist.
  3. Änderungen kontrolliert testen (Staging, Testsystem oder Checkliste) und Ergebnis dokumentieren.
  4. Produktiv umsetzen, Nachtests durchführen und baseline-checks / scanner-ergebnisse + ausnahmefreigaben verlinken.
  5. Monitoring/Reviews auswerten und wiederkehrende Befunde wie „Baseline ist zu allgemein für reale Systeme“ in den Standard einarbeiten.

Entscheidungsregeln

Hinweis: Bitte keine allgemeinen Doku-Regeln hier wiederholen. Auf dieser Seite geht es um die konkreten Regeln und Ausnahmen für Security Baseline. Zentrale Leitlinie.

Security Baseline ist gut dokumentiert, wenn Regeln, Grenzfälle und Nachweise so konkret sind, dass Teams damit ohne Zusatzabsprachen arbeiten können.

Standardfall

Für Security Baseline zuerst den Anwendungsbereich konkret machen: technische Mindeststandards und Ausnahmen.

Freigabe & Rollen

Entscheidungen zu welcher baseline-stand verpflichtend ist und welche ausnahmen akzeptiert werden nicht implizit lassen, sondern Rollen und Freigaben explizit benennen.

Grenzfälle

Ausnahmen nur zulassen, wenn sie den Standard nicht aufweichen; besonders relevant sind hier hardening-status pro systemklasse.

Kontrollpunkt

Prüfbar ist die Regel erst, wenn baseline-checks / scanner-ergebnisse und ausnahmefreigaben sauber verlinkt sind.

Was dokumentiert werden soll

Hier nur die spezifischen Inhalte zu Security Baseline pflegen; allgemeine Doku-Regeln bleiben in der zentralen Leitlinie. Zentrale Leitlinie.

Die Seite ist dann gut, wenn eine Vertretung den Standard anwenden oder prüfen kann, ohne erst Personenwissen einsammeln zu müssen.

Definitionen

Begriffe, Scope und Grenzen zu Security Baseline konkretisieren – inklusive technische mindeststandards und ausnahmen.

Standardkonfiguration / Prozess

Den Standard so notieren, dass welcher baseline-stand verpflichtend ist und welche prüfintervalle gelten eindeutig entschieden sind.

Belege

Artefakte direkt nennen und verlinken: Baseline-Checks / Scanner-Ergebnisse, Ausnahmefreigaben, Maßnahmen-Tickets.

Review-Stand

Aktive Ausnahmen, letzte Änderung und nächster Review gehören auf die Seite – besonders bei Themen mit hardening-status pro systemklasse.

Typische Stolperfallen

Pflege hier echte Fallstricke aus der Praxis von Security Baseline; allgemeine Hinweise gehören in die zentrale Leitlinie. Zentrale Leitlinie.

  • Umfang driftet: Baseline ist zu allgemein für reale Systeme.
  • Regel bleibt abstrakt: Ausnahmen werden nicht nachverfolgt.
  • Nachweis fehlt: Prüfberichte werden nicht versioniert.
  • Ausnahme entgleist: Servicekonten werden im Rollout vergessen.
Tipp: Lieber 3 konkrete Beobachtungen aus echten Fällen dokumentieren als eine lange allgemeine Liste.

Prüfung & Pflege

Prüfe diese Seite gegen reale Vorgänge zu Security Baseline – nicht nur gegen den Wortlaut. Entscheidend ist, ob Standard, Ausnahmen und Nachweise im Alltag tragen.

  • Sind Baselines je Systemklasse konkret genug?
  • Wurden Ausnahmen fristgerecht geprüft?
  • Sind Prüfberichte vergleichbar über Zeit?
  • Ist die Zielgruppenliste vollständig?

Prüf-Fokus für „Security Baseline“: Betriebsroutine; prüfe dabei insbesondere technische mindeststandards und ausnahmen.

Sinnvolle Kennzahlen

Wenige Kennzahlen genügen – wichtig ist, dass sie Entscheidungen oder Verbesserungen auslösen.

Für „Security Baseline“ Kennzahlen direkt an welcher baseline-stand verpflichtend ist und die häufigsten Praxisrisiken koppeln.

Baseline-Compliance

Anteil Systeme ohne kritische Abweichung

Intervall: monatlich

Offene Sicherheitsausnahmen

Anzahl aktiver Ausnahmen

Intervall: monatlich

Zeit bis Härtung

Zeit von Provisionierung bis Baseline-konform

Intervall: monatlich

Nächste Schritte

Ergänze jetzt die konkrete Entscheidung zu welcher baseline-stand verpflichtend ist inkl. Verantwortlichen, Datum und Verweis auf baseline-checks / scanner-ergebnisse.

Auf „Security Baseline“ als Nächstes besonders klar machen: welche technische mindeststandards und ausnahmen im Standardfall gelten und welche Ausnahmen befristet sind.