Benutzerkontrolle. Gewährleistungsziel: Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte. Getroffene Maßnahmen:
Benutzerkontrolle. ● Nur autorisierte Nutzer können mit Benutzername und Passwort zugreifen. Die Rechte können jederzeit zentral entzogen werden.
Benutzerkontrolle. Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte. Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben. Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können.
Benutzerkontrolle. Der Auftragnehmer setzt Benutzerkontrollen ein, damit nur Befugte mit einer Zugriffsberechtigung bei der Verarbeitung, Nutzung und nach der Speicherung auf die Daten zugreifen können. Die Zugriffsberechtigung ist mitarbeiterbezogen und Keyfile / Kennwort gesichert. Jeder Mitarbeiter wird regelmäßig auf den verantwortungsvollen Umgang sensibilisiert. Die Zugriffe auf Systeme werden nach dem Minimalprinzip eingerichtet. Bestehende Berechtigungen werden regelmäßig überprüft. Zugriffskontrolle Zugriff auf Serversysteme ist nur per Key möglich, die Zugriffsberechtigungen werden zentral verwaltet. Alle Mitarbeiter sind angewiesen, eventuelle Passwörter nach einer Passwort-Richtlinie zu generieren. Es existiert ein definierter Prozess zur Vergabe von Benutzerkennungen und Zugriffsberechtigungen bei der Neueinstellung und beim Ausscheiden von Mitarbeitern. Eine Protokollierung darüber wird elektronisch gepflegt. Übertragungskontrolle Daten werden nur an berechtigte Empfänger (z.B. Banken im Rahmen des Zahlungsverkehrs oder einer Domainregistrierung) elektronisch übertragen. Es werden ausschließlich verschlüsselte Verbindungen eingesetzt. Beim Versand von E-Mails kann eine Übertragung unverschlüsselt vorkommen, wenn der Empfänger keine Verschlüsselung unterstützt. Die notwendigen Zertifikate und Schlüssel werden von Administratoren des Auftragnehmers verwaltet.
Benutzerkontrolle. Maßnahmen zur Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte: • Externer Datenaustausch wird über abgesicherte Leitungen (MPLS-WAN / VPN) durchgeführt • Authentifikation mit Benutzername / Passwort • Vergabe von Passwörtern gemäß Passwortrichtlinie (Komplexitätsregeln) • Führung eines Verzeichnisses von Verarbeitungstätigkeiten mit Übersicht aller Empfänger, gegenüber denen personenbezogene Daten offengelegt werden • Absicherung der Zugänge (u. a. VPN, WLAN, FTP-Server) und Nutzung nur durch berechtigte Personen • Sensibilisierung der Mitarbeiter durch Schulungen und Gefährdungsanalysen Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben: • Differenzierte Berechtigungskonzepte für den Zugriff auf IT-Systeme • Berechtigungsvergabe/-Anforderungen nur durch Befugte (IT-Prozess) • Administratorrechte beschränkt auf das Notwendigste • Protokollierung der Eingabe, Änderung und Löschung von Daten • ausschließliche Verwendung individualisierter Accounts
Benutzerkontrolle. Maßnahmen die verhindern, dass Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten genutzt werden können. Folgende Maßnahmen bestehen: Eine Passwortrichtlinie ist vorhanden und wird umgesetzt. Zugriffe und Rollenkonzepte sind Serverseitig vorhanden. Ein Berechtigungskonzept wird umgesetzt. Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung entsprechenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Folgende Maßnahmen bestehen: Eine Festlegung und Prüfung der Zugriffsberechtigungen erfolgt mittels Active Directory. Eine Protokollierung der Änderungen in den Dokumenten wird mittels Google-Docs durchgeführt.
Benutzerkontrolle. Es ist zu verhindern, dass unbefugte Personen Datenverarbeitungssysteme, in denen personenbezogene Daten gespeichert werden, mit Hilfe von Einrichtungen der Datenübertragung nutzen können. Unerlaubte Tätigkeiten in DV-Systemen außerhalb eingeräumter Berechtigungen sind zu verhindern.
Benutzerkontrolle. Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte: • Automatische Sperrung • Kennwortverfahren
Benutzerkontrolle. Maßnahmen zur Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte • DIN EN ISO 27001 zertifiziertes Rechenzentrum • Zuordnung von Benutzerrechten • Passwortvergabe (schriftliche Passwortrichtlinie) • Authentifikation von Benutzername / Passwort • Zwei-Faktor-Authentisierung bei Systemanmeldungen von extern (falls ein User sich physisch nicht im Unternehmen befindet) • Schlüsselregelung • Protokollierung der Besucher • Einsatz von Intrustion-Detection-Systemen • Einsatz von Anti-Viren-Software • Einsatz einer Hardware-Firewall • Erstellen von Benutzerprofilen • Zuordnung von Benutzerprofilen zu IT-Systemen • Einsatz von VPN-Technologie • Sicherheitsschlösser • Personenkontrolle am Empfang • Einsatz von zentraler Smartphone-Administrations-Software • Einsatz einer Software-Firewall Maßnahmen, die gewährleisten, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben • DIN EN ISO 27001 zertifiziertes Rechenzentrum • Berechtigungskonzept (Das Berechtigungskonzept ist dokumentiert und die Anzahl der Systemadministratoren, die auf die Protokollierungen Zugriff haben, ist auf ein Minimum begrenzt.) • Anzahl von Administratoren auf das „Notwendigste“ reduziert • Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten • Einsatz von datenschutzgerechten Aktenvernichtern bzw. Dienstleistern mit Zertifikat • Verwaltung der Rechte durch Systemadministrator • Passwortrichtlinie inkl. Passwortlänge und Fristen für den Passwortwechsel
Benutzerkontrolle. Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte. Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben. Zweckmäßige Maßnahmen sind unter anderem: ✓ Differenzierte Berechtigungen (Profile, Rollen) ✓ Differenziertes Ordnerkonzept (z.B. alle Dateien sind einheitlich und nachvollziehbar zu benennen und so abzuspeichern, dass sie problemlos wiedergefunden werden können). ✓ Datenträger sind eindeutig zu kennzeichnen und sicher aufzubewahren. ✓ Sichere Löschung von Daten und/ oder Vernichtung von Datenträgern. ✓ Ordnung am Arbeitsplatz [Datenträger (USB- Sticks, CD-ROMs) mit vertraulichem Material dürfen nicht offen herumliegen]. ✓ Anpassung sicherheitsrelevanter Standardeinstellungen von neuen Programmen und IT-Systemen ✓ Deinstallation bzw. Deaktivierung nicht benötigter sicherheitsrelevanter Programme und Funktionen (v.a. bei Smartphones) Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können. Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind. Zweckmäßige Maßnahmen sind unter anderem: ✓ Protokollierungs- und Protokollauswertungssysteme werden eingesetzt bzw. sind als Teile von bestehenden Softwareapplikationen anwendbar ✓ Zugriff auf Datenverarbeitungssysteme nur nach Login möglich ✓ Xxxxx Xxxxxxxxxx von Passwörtern ✓ Zusätzlich zur automatischen Sperrung: manuelle Abmeldung beim Verlassen des Büros Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden. Zweckmäßige Maßnahmen sind unter anderem: ✓ Verschlüsselung (insbes. Laptops) ✓ Tunnelverbindung (VPN = Virtual Private Network) ✓ Elektronische Signatur möglich ✓ Keine Benutzung von nicht freigegebener Hard-/ Software ✓ Keine Weiterleitung von E-Mails an private E-Mail- Accounts von Mitarbeitern ✓ Vorsicht beim Umgang mit Backup-Bändern ✓ Vorgaben an Mitarbeiter bzgl. Ausdrucken von geheimen Unterlagen (Sicherstellung, dass kein anderer Zugriff auf Ausdrucke bekommt). ...