Sicherheitskonformität gemäß SIT-Richtlinie
VIEDEV erfüllt die Sicherheits-anforderungen der SIT-Richtlinie
Im Rahmen der Sicherheitsanforderungen gemäß der Richtlinie der SIT (Sicherheits- und InformationsTechnik) wurden die eingesetzten Komponenten im Citrix-Rechenzentrum der VIEDEV GmbH auf Konformität geprüft.
Die nachfolgende Übersicht zeigt, dass die geforderten Maßnahmen unter Einsatz von Citrix NetScaler Gateway, Sophos Intercept X sowie Windows Server Update Services (PDQ Deploy) vollumfänglich erfüllt werden – vorbehaltlich der ordnungsgemäßen Dokumentation und Betriebsführung.
Eingesetzte Technologien
Die VIEDEV GmbH mit dem RZ by BW.TECH setzt im Rahmen ihres Betriebsmodells folgende Komponenten ein:
- Citrix NetScaler Gateway für gesicherten Remote-Zugriff
- Sophos Intercept X als EDR- und AV-Lösung auf Servern und Clients
- PDQ Deploy (Update- und Patch- Services) zur Verteilung sicherheitsrelevanter Updates
Gegenüberstellung: SIT-Anforderungen und Umsetzung
| Anforderung laut SIT | Umsetzung mit Citrix RZ, NetScaler, Sophos & PDQ Deploy | Bemerkung / Verantwortlichkeit |
| Szenario 1: Native RDP/ICA offen im Internet | 🚫 Nicht verwendet | Durch Einsatz von NetScaler ausgeschlossen. |
| Szenario 2: Gateway-geschützter Zugriff (z. B. NetScaler) | ✅ Erfüllt | TLS-Gateway mit Authentifizierung über NetScaler vorhanden. |
| – EDR auf Server | ✅ Erfüllt durch Sophos Intercept X | Zentral über Sophos Central verwaltet. |
| – EDR auf Client | ✅ Erfüllt durch Sophos Intercept X | Client-Schutz mit automatischer Reaktion. |
| – AV & Patchmanagement auf Server | ✅ AV: Sophos ✅ Patch: PDQ Deploy | Patchmanagement über PDQ Deploy; AV durch Sophos. |
| – AV & Patchmanagement auf Client | ✅ AV: Sophos ✅ Patch: PDQ Deploy | Wird clientseitig durch PDQ Deploy und Intercept X abgedeckt. |
| – NextGen Firewall intern | ✅ vorhanden im Citrix RZ | Segmentierte Architektur im Rechenzentrum. |
| – Proxyfähiger Zugriff aus Verbandsnetz | ✅ unterstützt | Via Citrix StoreFront/Workspace über HTTPS. |
| Szenario 3: Zugriff via IPSec oder NdB | ➖ optional | Nicht aktiv genutzt, da NetScaler im Einsatz. |
| Szenario 4: HTML5-Zugriff (Browser) | ✅ unterstützt | Citrix HTML5-Client verfügbar. |
| – Sicherheitsmaßnahmen wie oben | ✅ erfüllt | Kombination aus Sophos + NetScaler + PDQ Deploy. |
| Passwortrichtlinien der SIT | ✅ umgesetzt | Via Active Directory (GPOs) abgedeckt. |
| Systemhärtung & Patchmanagement | ✅ umgesetzt | Patchmanagement mit PDQ Deploy, Härtung über GPOs. |
| Auditierungsrecht / ISO 27001 etc. | ✅ möglich | Zertifizierungen für VIEDEV (by BW.TECH) und Citrix RZ verfügbar. |
Fazit
Die VIEDEV GmbH erfüllt die in der SIT-Richtlinie geforderten technischen und organisatorischen Maßnahmen durch den strukturierten Einsatz etablierter Lösungen.
Alle sicherheitsrelevanten Komponenten sind vorhanden, technisch wirksam und können im Rahmen eines kostenpflichtigen Audits belegt werden. Die Verantwortung für die korrekte und lückenlose Dokumentation liegt beim Betreiber.
Alle Angaben sind auf dem Stand vom 01.07.2025
Häufig gestellte Fragen (FAQ)
Welche Systeme setzt VIEDEV zur Erfüllung der Anforderungen ein?
VIEDEV nutzt unter anderem Citrix NetScaler Gateway für den gesicherten Remote-Zugriff, Sophos Intercept X als Endpoint-Schutz (EDR & AV) sowie PDQ Deploy zur zentralen Verteilung sicherheitsrelevanter Updates. Zusätzlich kommen Active Directory-Gruppenrichtlinien (GPOs) zur Systemhärtung zum Einsatz.
Ist der Zugriff aus dem Verbandsnetz oder über einen Browser möglich?
Ja. Der Zugriff auf VIEDEV-Systeme erfolgt über HTTPS und ist sowohl mit Proxy-Freigabe aus Verbandsnetzen als auch via HTML5-Client im Browser möglich – ganz ohne lokale Installation.
Werden Passwortrichtlinien nach SIT-Vorgaben umgesetzt?
Ja. Die Passwortvorgaben der SIT-Richtlinie werden über zentrale Gruppenrichtlinien (GPOs) im Active Directory gesteuert und kontrolliert durchgesetzt.
Können Auditierungsnachweise (z. B. ISO 27001) bereitgestellt werden?
Ja, VIEDEV kann auf Anfrage Auditierungsnachweise zu den eingesetzten Rechenzentrumsdiensten und den technischen Maßnahmen zur Verfügung stellen. Ein formeller Auditbericht ist im Rahmen eines kostenpflichtigen Sicherheitsaudits möglich.