Zum Hauptinhalt springen
Zentrale
Sales

Sichere Inbetriebnahme eines Windows-PC nach BSI IT‑Grundschutz

Hinweis: Diese praxisnahe Checkliste orientiert sich an BSI IT‑Grundschutz (Modernisierung) und gängigen Best Practices. Passen Sie die Punkte an Ihre Schutzbedarfsfeststellung und Ihr ISMS an. Ergänzend werden Anforderungen der Verordnung (EU) 2024/2847 (Cyber Resilience Act) und IEC 62443 berücksichtigt. Die Verantwortung für die Einhaltung der jeweils geltenden Regelwerke und Normen liegt beim Betreiber.

  • 1. Sichere Installation

    • UEFI aktivieren, Secure Boot einschalten, Firmware/BIOS aktualisieren
    • TPM 2.0 aktivieren
    • Individuelles BIOS/UEFI-Administrationspasswort setzen (kein Standardpasswort verwenden)
    • Windows aktuell installieren (möglichst vom geprüften, aktuellen ISO/Golden Image)
    • Gerätetreiber aus vertrauenswürdiger Quelle installieren (signierte Pakete)
    • Erste Systemaktualisierung durchführen (Windows Update, optionale Qualitätsupdates)

  • 2. Systemhärtung (Grundschutz SYS)

    • Lokale Konten: Default-Admin umbenennen/deaktivieren; individuelle Admin-Konten anlegen
    • Starke Passwörter/Passphrasen und Sperr-/Lockout-Richtlinien setzen
    • Prinzip der minimalen Rechte (Least Privilege); getrennte Admin-/User-Konten
    • Dienste und Features minimieren: unnötige Rollen/Features entfernen, unnötige Dienste deaktivieren
    • Unsichere Protokolle deaktivieren (SSLv2/v3, TLS 1.0/1.1, RC4, 3DES)
    • Remotezugriff: RDP nur via Gateway/VPN, NLA aktivieren, verschlüsseln; Telnet/SMBv1 deaktivieren
    • PowerShell Remoting nur signiert und eingeschränkt; Skriptrichtlinien setzen
    • Applikationskontrolle aktivieren (AppLocker oder Windows Defender Application Control)
    • Makro- und Skript-Policies: signierte Makros, geschützte Ansicht
    • SMB-Signierung und -Verschlüsselung gemäß Policy erzwingen (SMBv3)
    • Firewall aktivieren, eingehende Regeln auf Whitelist-Prinzip beschränken
    • MFA für privilegierte Zugriffe verwende
    • BitLocker mit TPM + PIN oder Netzentschlüsselung einsetzen; Wiederherstellungsschlüssel sicher hinterlegen
    • Datenschutz/DSGVO berücksichtigen: Telemetrie, Protokolldaten, Schutzbedarf, Löschkonzept
    • Physische Sicherheit: Gehäuselocks, Port-Abdeckungen, manipulationssichere Aufstellung
    • Microsoft Defender Antivirus/EDR aktivieren; Signaturen aktuell; Cloud-Schutz aktiv
    • Attack Surface Reduction (ASR) Regeln aktivieren
    • Exploit Protection/DEP/ASLR und Control Flow Guard aktivieren
    • Windows Updates über WSUS/Intune oder zentrale Lösung steuern
    • Drittsoftware patchen (Browser, Java, PDF, Runtime)
    • Herstellerinformationen zu Sicherheitsupdates regelmäßig prüfen

  • Weiterführende Informationen

    • BSI IT‑Grundschutz-Kompendium: Bausteine zu Systemen (SYS), Netzen (NET), Anwendungen (APP), Betrieb (OPS)
    • BSI TR-02102: Kryptographische Verfahren
    • BSI TR-03116: Empfehlungen zur Verwendung von Transport Layer Security
    • Verordnung (EU) 2024/2847 – Cyber Resilience Act (CRA), insb. Annex I und Annex II
    • Richtlinie (EU) 2022/2555 – NIS-2-Richtlinie
    • IEC 62443: Industrielle Kommunikationsnetze – IT-Sicherheit
    • Microsoft Security Baselines und CIS Benchmarks für Windows