+ 41 52 511 3200 (SUI)     + 1 713 364 5427 (USA)     
Cybersicherheitsrichtlinie

 

1. Einleitung und Zweck

1.1 Rheonics verpflichtet sich, seine Informationswerte, einschließlich geschützter Daten, Kundeninformationen, geistigem Eigentum und IT-Infrastruktur, vor unbefugtem Zugriff, Verwendung, Offenlegung, Änderung, Störung oder Zerstörung zu schützen.

1.2 Diese Richtlinie legt den Rahmen für die Aufrechterhaltung einer sicheren Umgebung für Rheonics' digitale Operationen, ausgerichtet auf:

  • Vorschriften: Schweizer DSG, DSGVO (sofern anwendbar), US-Bundes- und Landesgesetze sowie andere anwendbare nationale Gesetze, sofern Rheonics betreibt.
  • Standards: Zero-Trust-Prinzipien, CIS-Benchmarks, NIST-Richtlinien (z. B. SP 800-88, SP 800-171, sofern zutreffend) und OWASP-Richtlinien.

1.3 Ziele:

  • Schützen Sie die Vertraulichkeit, Integrität und Verfügbarkeit (CIA) von Daten und Systemen.
  • Minimieren Sie das Risiko von Cybersicherheitsvorfällen und gewährleisten Sie die Geschäftskontinuität.
  • Fördern Sie eine sicherheitsbewusste Kultur bei allen Mitarbeitern.
  • Stellen Sie die Einhaltung gesetzlicher, behördlicher und vertraglicher Verpflichtungen sicher.

 

2. Umfang

Gilt für alle Rheonics Mitarbeiter, Auftragnehmer, Berater, Praktikanten, Freiwillige und Dritte („Benutzer“), die auf Rheonics Systeme, Daten oder Einrichtungen. Umfasst:

2.1 Vermögenswerte

  • Hardware
  • Software (einschließlich SaaS/IaaS/PaaS)
  • Daten (elektronisch und physisch)
  • Netzwerke
  • Physische Einrichtungen

2.2-Aktivitäten

  • Arbeit vor Ort
  • Heimarbeit
  • Nutzung firmeneigener Geräte
  • Nutzung persönlicher Geräte (BYOD)
  • Entwicklungsaktivitäten
  • Interaktionen mit Drittanbietern

 

3. Rollen und Verantwortlichkeiten


RollenSchlüssel Pflichten
ManagementSetzen Sie sich für Richtlinien ein, weisen Sie Ressourcen zu und sorgen Sie für umfassende Compliance und Risikomanagement.
IT-/SicherheitsteamImplementieren/verwalten Sie Kontrollen; leiten Sie die Reaktion auf Vorfälle; führen Sie Audits und Bewertungen durch.
Alle NutzerHalten Sie sich an die Richtlinien, verwenden Sie sichere Passwörter und MFA, melden Sie Vorfälle umgehend und absolvieren Sie die Schulung.

 

4. Grundsatzerklärungen

4.1 Datensicherheit

  • Klassifizierung und Handhabung: Daten müssen entsprechend ihrer Sensibilität klassifiziert und behandelt werden (siehe Anhang A). Mit zunehmender Sensibilität steigen die Anforderungen.
  • Verschlüsselung: Eingeschränkt zugängliche und vertrauliche Daten müssen im Ruhezustand und während der Übertragung mithilfe starker, branchenüblicher Algorithmen verschlüsselt werden.
  • Verfügung: Es müssen sichere Methoden angewendet werden: NIST SP 800-88-konformes Löschen elektronischer Datenträger; Kreuzschnitt-Schreddern (P-4 oder höher) für physische Dokumente mit vertraulichen oder eingeschränkten Daten. Datenaufbewahrungsfristen müssen eingehalten werden.

4.2 Zugriffskontrolle

  • Geringste Privilegien und RBAC: Der Zugriff wird auf Grundlage der Notwendigkeit der Arbeitsfunktion (geringste Berechtigung) mithilfe der rollenbasierten Zugriffskontrolle (RBAC) gewährt.
  • Authentifizierung: Eindeutige Benutzer-IDs erforderlich. Sichere Passwörter (siehe Anhang B) und MFA sind für Cloud-Dienste, Fernzugriff, Administratorkonten und Systeme mit vertraulichen/eingeschränkten Daten obligatorisch.
  • Bewertungen: Die Zugriffsrechte werden vierteljährlich von Managern/Systemverantwortlichen überprüft und bei Kündigung oder Rollenwechsel sofort widerrufen. Für die Gewährung/Änderung von Zugriffsrechten ist ein formeller Genehmigungsprozess erforderlich.

4.3 Richtlinie zur akzeptablen Nutzung (AUP)

  • Geschäftszweck: Rheonics Die Ressourcen dienen in erster Linie der geschäftlichen Nutzung. Eine gelegentliche private Nutzung ist in begrenztem Umfang zulässig, sofern sie nicht mit den Aufgaben kollidiert, übermäßige Ressourcen verbraucht, Kosten verursacht oder gegen Richtlinien/Gesetze verstößt.
  • Verbotene Aktivitäten: Einschließlich, aber nicht beschränkt auf: illegale Aktivitäten, Belästigung, Zugriff auf/Verbreitung anstößiger Materialien, Urheberrechtsverletzungen, unbefugte Systemänderungen, Umgehung von Sicherheitskontrollen, Installation nicht autorisierter Software, Einschleusung von Schadsoftware, unbefugte Weitergabe/Exfiltration von Daten, übermäßige persönliche Nutzung.
  • Wachsamkeit der Benutzer: Benutzer müssen beim Umgang mit E-Mails (Phishing), beim Surfen im Internet (schädliche Websites) und beim Umgang mit Anhängen/Links vorsichtig sein.

4.4 Netzwerksicherheit

  • Umfang und Segmentierung: Firewalls, IDS/IPS werden gewartet. Netzwerksegmentierung isoliert kritische Systeme (z. B. F&E, Produktion) und Datenspeicher.
  • Wi-Fi: Sicheres WPA3-Enterprise (oder mindestens WPA2-Enterprise) für interne Netzwerke. Gast-WLAN muss logisch getrennt sein und darf keinen Zugriff auf interne Ressourcen ermöglichen.
  • Remote Access: Nur über ein vom Unternehmen genehmigtes VPN mit MFA. Split-Tunneling kann eingeschränkt sein.
  • Null Vertrauen: Die Implementierung der Zero-Trust-Architekturprinzipien (z. B. Mikrosegmentierung, kontinuierliche Überprüfung, Gerätezustandsprüfungen) ist im Gange und soll für kritische Netzwerke bis zum ersten Quartal 1 abgeschlossen sein.

4.5 Unternehmenseigene Endpoint-Sicherheit

  • Schutz: Auf allen unternehmenseigenen Endpunkten (Desktops, Laptops, Mobilgeräten) muss eine vom Unternehmen verwaltete Endpoint Detection & Response (EDR)- oder zugelassene Antivirensoftware ausgeführt und aktualisiert werden.
  • Patchen: Betriebssysteme und Anwendungen müssen über den Patch-Management-Prozess des Unternehmens auf dem neuesten Stand gehalten werden. Kritische Patches werden innerhalb definierter Zeiträume eingespielt [Rheonics um Zeitrahmen zu definieren, z. B. 72 Stunden für kritische Betriebssysteme].
  • Verschlüsselung: Auf Laptops und tragbaren Geräten ist eine vollständige Festplattenverschlüsselung (z. B. BitLocker, FileVault) obligatorisch.

4.6 Bringen Sie Ihr eigenes Gerät mit (BYOD)

  • Zulassungen und Normen: Nutzung persönlicher Geräte (BYOD) für den Zugriff auf nicht öffentliche Rheonics Daten erfordern eine ausdrückliche Genehmigung und die Einhaltung von Mindeststandards (siehe Anhang D).
  • Sicherheitsanforderungen: Beinhaltet MDM-Registrierung, unterstützte Betriebssystemversionen, Sicherheitssoftware, Verschlüsselung, Passwörter, Remote-Löschfunktion und Datentrennung/-containerisierung.
  • Haftungsausschluss: Rheonics behält sich das Recht vor, Unternehmensdaten von BYOD-Geräten zu verwalten/löschen; Rheonics ist nicht für den Verlust personenbezogener Daten während Sicherheitsmaßnahmen verantwortlich.

4.7 Softwaresicherheit und -verwaltung

  • Autorisierte Software: Es darf nur lizenzierte und von der IT-Abteilung freigegebene Software installiert werden. Die Installation nicht autorisierter Anwendungen ist den Benutzern untersagt.
  • Patch-Management: Gilt für die gesamte Software (Betriebssystem, Anwendungen, Firmware) auf allen Systemen (Server, Endpunkte, Netzwerkgeräte).
  • Schwachstellenmanagement: Regelmäßige Schwachstellen-Scans werden durchgeführt. Kritische Schwachstellen müssen innerhalb festgelegter Zeiträume behoben werden.Rheonics zu definieren]. Regelmäßig werden Penetrationstests an kritischen Systemen durchgeführt.
  • Sichere Entwicklung: (Falls zutreffend) Entwicklungsteams müssen sichere Codierungspraktiken befolgen (z. B. OWASP Top 10), Codeüberprüfungen durchführen und Sicherheitstesttools (SAST/DAST) verwenden.
  • Analyse der Softwarezusammensetzung (SCA): Open-Source-Komponenten müssen inventarisiert und auf Schwachstellen geprüft werden. Die Verwendung von End-of-Life-Software/-Komponenten (EOL) ist verboten, es sei denn, das Management/die IT-Sicherheit akzeptiert das Risiko ausdrücklich.

4.8 Physische Sicherheit

  • Zugangskontrolle: Zugriff auf Rheonics Einrichtungen, Serverräume und F&E-Labore sind durch physische Kontrollen (Ausweise, Schlüssel, Biometrie) geschützt. Für sensible Bereiche werden Zugangsprotokolle geführt.
  • Besuchermanagement: Besucher müssen sich anmelden, einen vorläufigen Ausweis erhalten und in nicht-öffentlichen Bereichen begleitet werden.
  • Sicherheit am Arbeitsplatz: Benutzer müssen unbeaufsichtigte Arbeitsplätze sperren (Windows+L / Strg+Cmd+Q).
  • Schreibtisch/Bildschirm frei machen: Vertrauliche Informationen (physische Dokumente, Bildschirme) sollten vor unbefugter Einsicht geschützt werden, insbesondere in offenen Bereichen oder bei unbeaufsichtigten Schreibtischen. Es sind sichere Abfallbehälter zu verwenden.

4.9 Cloud-Sicherheit

  • Genehmigte Dienste: Nutzung von Cloud-Diensten (SaaS, IaaS, PaaS) für Rheonics Daten müssen von der IT/Sicherheit genehmigt werden.
  • Konfiguration & Überwachungoring: Dienste müssen sicher konfiguriert sein und gegebenenfalls den CIS-Benchmarks (AWS/GCP/Azure) entsprechen. Richtlinien für bedingten Zugriff (z. B. Geolokalisierung, Gerätekonformität) müssen durchgesetzt werden. Die Protokollierung von API und Benutzeraktivitäten muss aktiviert und überwacht werden.
  • Datenschutz: Stellen Sie sicher, dass Cloud-Anbieter Rheonics„Datensicherheit, Verschlüsselung, Backup und Speicheranforderungen über Verträge und Bewertungen.“

4.10 Drittanbieter-/Lieferantenmanagement

  • Risikoabschätzung: Sicherheitsbewertungen, die vor der Beauftragung von Anbietern durchgeführt werden, die auf Rheonics Daten oder Verbindungen zu Netzwerken. Das Risikoniveau bestimmt die Tiefe der Bewertung.
  • Vertragliche Anforderungen: Verträge müssen Klauseln zu Vertraulichkeit, Datenschutz (einschließlich DPAs bei der Verarbeitung personenbezogener Daten gemäß DSGVO/DSG), Sicherheitskontrollen, Vorfallbenachrichtigung und Prüfrechten enthalten.
  • Laufende Überwachungoring: Regelmäßige Überprüfung der Sicherheitslage kritischer Anbieter.

4.11 Reaktion auf Vorfälle

  • Reporting: Verdächtige Vorfälle müssen unverzüglich (innerhalb einer Stunde nach Entdeckung) gemeldet werden über () oder (24/7-Kanal für interne Unternehmensteams).
  • Reaktionsplan: Rheonics verwaltet einen Incident Response Plan (IRP). Der grundlegende Ablauf ist in Anhang C beschrieben.
  • Kritische Vorfälle: (z. B. Ransomware, bestätigter Datenverstoß) Eskalations- und Eindämmungsmaßnahmen auslösen (Ziel innerhalb von 4 Stunden). Die Benachrichtigung von Rechts- und Führungsebene erfolgt gemäß den Vorschriften (z. B. DSGVO/DSGV: 72-Stunden-Benachrichtigung bei Datenverstößen, sofern zutreffend).
  • Zusammenarbeit: Alle Benutzer müssen bei der Untersuchung von Vorfällen uneingeschränkt kooperieren.

 

5. Durchsetzung

Verstöße werden je nach Schwere und Vorsatz gemäß dem örtlichen Arbeitsrecht geahndet.

VerstoßBeispielKonsequenz (Beispiele)
MollVersehentliche Abweichung von den Richtlinien; verpasste nicht unbedingt notwendige SchulungSchriftliche Verwarnung; obligatorische Nachschulung
DurWeitergabe von Anmeldeinformationen; wiederholte geringfügige Verstöße; Installation nicht autorisierter P2P-SoftwareSuspendierung; formelle Disziplinarmaßnahmen
Kritisch / AbsichtlichVorsätzlicher Datenverstoß; böswillige Aktivitäten; SabotageKündigung; mögliche rechtliche Schritte

 

6. Richtlinienpflege

  • Kadenz der Überprüfung: Wird mindestens einmal jährlich vom Richtlinieninhaber (IT-Leiter) und den Beteiligten überprüft.
  • Auslöser für die Überprüfung: Ad-hoc-Überprüfungen werden ausgelöst durch: Schwerwiegende Sicherheitsvorfälle, bedeutende regulatorische Änderungen (z. B. neue Datenschutzgesetze), bedeutende Technologie-/Infrastrukturänderungen (z. B. große Cloud-Migration), Audit-Ergebnisse.
  • Aktualisierungen: Genehmigte Änderungen wurden allen Benutzern mitgeteilt.

 

7. Anhänge

7.1 Anhang A: Datenklassifizierung

KlassifikationBeispielAnforderungen an die Handhabung
BeschränktPII des Kunden, F&E-Quellcode, Kryptoschlüssel• Verschlüsselung (im Ruhezustand/bei der Übertragung)
• Strenge Zugriffsprotokolle
• Need-to-know + ausdrückliche Genehmigung
• Jährliche Zugangsüberprüfung
VertraulichMitarbeiterdaten, Finanzdaten, interne Strategien• MFA empfohlen/erforderlich
• Need-to-know-Basis
• Eingeschränkte interne Freigabe
InternBesprechungsnotizen, interne Richtlinien, allgemeine Kommunikation• Keine externe Weitergabe ohne Genehmigung.
• Unternehmenssysteme nutzen
ÖffentlicheMarketingmaterialien, öffentliche Website-Inhalte• Keine Einschränkungen bei der Handhabung/Freigabe

 

7.2 Anhang B: Passwortanforderungen

  • Minimale Länge:
    • Benutzerkonten: 12 Zeichen
    • Admin-/Service-Konten: 16 Zeichen
  • Komplexität
    • Mindestens 3 von 4: Großbuchstaben, Kleinbuchstaben, Zahlen, Sonderzeichen (~!@#$%^&*()-_=+[]{}|;:'”,.<>/?). Darf keinen Benutzernamen oder gebräuchliche Wörterbuchwörter enthalten.
  • Rotation
    • Maximal 90 Tage (außer bei Verwendung genehmigter kontinuierlicher Authentifizierungsmethoden).
  • Geschichte
    • Die vorherigen 5 Passwörter können nicht wiederverwendet werden.
  • Lagerung:
    • Darf nicht ungesichert aufgeschrieben werden. Verwenden Sie einen vom Unternehmen zugelassenen Passwort-Manager (z. B. Bitwarden, 1Password) für storing Komplexe, eindeutige Passwörter. Weitergabe von Passwörtern verboten. MFA-Umgehung verboten.

 

7.3 Anhang C: Reaktionsablauf bei Vorfällen

  • Erkennung und Analyse: Identifizieren Sie potenzielle Vorfälle.
  • Reporting: Melden Sie den Vorfall SOFORT (innerhalb einer Stunde) über die festgelegten Kanäle der IT/Sicherheit.
  • Triage und Beurteilung: Die IT-/Sicherheitsabteilung beurteilt Schweregrad und Auswirkungen.
  • Eindämmung: Isolieren Sie betroffene Systeme/Konten (bei kritischen Vorfällen innerhalb von 4 Stunden).
  • Ausrottung: Bedrohung/Schwachstelle beseitigen.
  • Erholung: Systeme/Daten sicher wiederherstellen.
  • Überprüfung nach dem Vorfall: Gelernte Lektionen, Prozessverbesserung.
    • Benachrichtigung: Rechtliche/behördliche/Kundenbenachrichtigungen werden je nach Bedarf auf Grundlage einer Bewertung durchgeführt (z. B. innerhalb von 72 Stunden bei Verstößen gegen die DSGVO/DSGVO).

 

7.4. Anhang D: BYOD-Mindeststandards

  • Die Anerkennung: Erforderlich vor dem Zugriff auf nicht öffentliche Daten.
  • Geräteanforderungen:
    • Betriebssystemversionen: Muss aktuell vom Anbieter unterstützte Versionen ausführen (z. B. Windows 11+, macOS 14+, iOS 16+, Android 13+)
    • Sicherheit: Bildschirmsperre/Biometrie aktiviert; Geräteverschlüsselung aktiviert; zugelassene Sicherheitssoftware (AV/Anti-Malware) kann erforderlich sein; Gerät nicht gejailbreakt/gerootet.
    • MDM: Einschreibung in Rheonics„Eine Mobile Device Management (MDM)-Lösung ist obligatorisch.“
    • Fernlöschung: Die Funktion muss für Unternehmensdaten/-profile aktiviert werden.
  • Datentrennung: Zugriff auf/Speicherung von Unternehmensdaten über freigegebene Anwendungen innerhalb eines verwalteten Profils oder Containers (z. B. Microsoft Intune MAM, Android Work Profile). Kein Kopieren von Unternehmensdaten in private Apps/Speicher.
  • Netzwerk: Stellen Sie eine Verbindung über sicheres WLAN her; vermeiden Sie bei der Arbeit nicht vertrauenswürdiges öffentliches WLAN.

 

8. Kontakt und Bestätigung

  • Sicherheitsfragen/Bedenken: Kontakt () oder das IT-/Sicherheitsteam über interne Kanäle.
  • Vorfälle melden: Verwenden Sie dringende Methoden: () und (24/7-Kanal für interne Unternehmensteams).
  • Wissen: Alle Benutzer sind verpflichtet, diese Richtlinie bei der Einarbeitung und nach wesentlichen Aktualisierungen elektronisch über das HR-Portal oder das Schulungssystem zu lesen, zu verstehen und den Erhalt zu bestätigen. Eine fehlende Bestätigung beeinträchtigt nicht die Anwendbarkeit der Richtlinie.
Cybersicherheitsrichtlinie herunterladen
Rheonics Cybersicherheitsrichtlinie
Suche