Benutzerkontrolle. Gewährleistungsziel: Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte. Getroffene Maßnahmen:
Benutzerkontrolle. ● Nur autorisierte Nutzer können mit Benutzername und Passwort zugreifen. Die Rechte können jederzeit zentral entzogen werden.
Benutzerkontrolle. Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte. Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben. Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können.
Benutzerkontrolle. Der Auftragnehmer setzt Benutzerkontrollen ein, damit nur Befugte mit einer Zugriffsberechtigung bei der Verarbeitung, Nutzung und nach der Speicherung auf die Daten zugreifen können. Die Zugriffsberechtigung ist mitarbeiterbezogen und Keyfile / Kennwort gesichert. Jeder Mitarbeiter wird regelmäßig auf den verantwortungsvollen Umgang sensibilisiert. Die Zugriffe auf Systeme werden nach dem Minimalprinzip eingerichtet. Bestehende Berechtigungen werden regelmäßig überprüft. Zugriffskontrolle Zugriff auf Serversysteme ist nur per Key möglich, die Zugriffsberechtigungen werden zentral verwaltet. Alle Mitarbeiter sind angewiesen, eventuelle Passwörter nach einer Passwort-Richtlinie zu generieren. Es existiert ein definierter Prozess zur Vergabe von Benutzerkennungen und Zugriffsberechtigungen bei der Neueinstellung und beim Ausscheiden von Mitarbeitern. Eine Protokollierung darüber wird elektronisch gepflegt. Übertragungskontrolle Daten werden nur an berechtigte Empfänger (z.B. Banken im Rahmen des Zahlungsverkehrs oder einer Domainregistrierung) elektronisch übertragen. Es werden ausschließlich verschlüsselte Verbindungen eingesetzt. Beim Versand von E-Mails kann eine Übertragung unverschlüsselt vorkommen, wenn der Empfänger keine Verschlüsselung unterstützt. Die notwendigen Zertifikate und Schlüssel werden von Administratoren des Auftragnehmers verwaltet.
Benutzerkontrolle. Maßnahmen zur Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte: • Externer Datenaustausch wird über abgesicherte Leitungen (MPLS-WAN / VPN) durchgeführt • Authentifikation mit Benutzername / Passwort • Vergabe von Passwörtern gemäß Passwortrichtlinie (Komplexitätsregeln) • Führung eines Verzeichnisses von Verarbeitungstätigkeiten mit Übersicht aller Empfänger, gegenüber denen personenbezogene Daten offengelegt werden • Absicherung der Zugänge (u. a. VPN, WLAN, FTP-Server) und Nutzung nur durch berechtigte Personen • Sensibilisierung der Mitarbeiter durch Schulungen und Gefährdungsanalysen Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben: • Differenzierte Berechtigungskonzepte für den Zugriff auf IT-Systeme • Berechtigungsvergabe/-Anforderungen nur durch Befugte (IT-Prozess) • Administratorrechte beschränkt auf das Notwendigste • Protokollierung der Eingabe, Änderung und Löschung von Daten • ausschließliche Verwendung individualisierter Accounts
Benutzerkontrolle. Es ist zu verhindern, dass unbefugte Personen Datenverarbeitungssysteme, in denen personenbezogene Daten gespeichert werden, mit Hilfe von Einrichtungen der Datenübertragung nutzen können. Unerlaubte Tätigkeiten in DV-Systemen außerhalb eingeräumter Berechtigungen sind zu verhindern.
Benutzerkontrolle. Maßnahmen die verhindern, dass Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten genutzt werden können. Folgende Maßnahmen bestehen: Eine Passwortrichtlinie ist vorhanden und wird umgesetzt. Zugriffe und Rollenkonzepte sind Serverseitig vorhanden. Ein Berechtigungskonzept wird umgesetzt. Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung entsprechenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Folgende Maßnahmen bestehen: Eine Festlegung und Prüfung der Zugriffsberechtigungen erfolgt mittels Active Directory. Eine Protokollierung der Änderungen in den Dokumenten wird mittels Google-Docs durchgeführt.
Benutzerkontrolle. Die Benutzerkontrolle umfasst Maßnahmen, mit denen die Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte verhindert wird. • Siehe Datenträgerkontrolle und Zugriffskontrolle Die Zugriffskontrolle umfasst Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können. • Vorhandensein eines Berechtigungskonzepts • Datenträgerverwaltung, Datensicherung, Aufbewahrung außerhalb des Gebäudes, Verschlüsselung • Zugriff zu den Festplatten mit Datensicherung nur für bestimmte Personen • Dokumentation von Datenträgerwechseln und Aufbewahrungsorten • Verbot der Nutzung von privatem Datenträger • Zugriff auf Notebooks, PC, Tablet und Server nur mit Username und Passwort möglich • Passwörter unterliegen definierten Passwortrichtlinien (hohe Anforderungen) • Administratoren sind für Vergabe und regelmäßige Änderung von Passwörtern verantwortlich • Betrieb von Arbeitsplatz-PC und Servern nur nach Anmeldung mit Benutzername und Passwort • Automatische Bildschirmsperre mit Passwort-Aktivierung • Zugangsprotokollierung • Sperrung nach mehrfach fehlerhaften Anmeldeversuchen • Löschung gem. Konzept, Schutzklassen und gesicherte Zwischenlagerung defekter Datenträger bis zu datenschutzkonformer Vernichtung • Vernichtung ausgedruckter Daten durch zugelassene Unternehmen • Umgang mit Datenträgern sowie Verwendung von USB-Sticks, PDSs, externen Festplatten, Tablets und Smartphones und anderer externer Geräte durch Arbeitsanweisung schriftlich geregelt
Benutzerkontrolle. Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte: • Automatische Sperrung • Kennwortverfahren
Benutzerkontrolle. Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte. Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben. Zweckmäßige Maßnahmen sind unter anderem: ✓ Differenzierte Berechtigungen (Profile, Rollen) ✓ Differenziertes Ordnerkonzept (z.B. alle Dateien sind einheitlich und nachvollziehbar zu benennen und so abzuspeichern, dass sie problemlos wiedergefunden werden können). ✓ Datenträger sind eindeutig zu kennzeichnen und sicher aufzubewahren. ✓ Sichere Löschung von Daten und/ oder Vernichtung von Datenträgern. ✓ Ordnung am Arbeitsplatz [Datenträger (USB- Sticks, CD-ROMs) mit vertraulichem Material dürfen nicht offen herumliegen]. ✓ Anpassung sicherheitsrelevanter Standardeinstellungen von neuen Programmen und IT-Systemen ✓ Deinstallation bzw. Deaktivierung nicht benötigter sicherheitsrelevanter Programme und Funktionen (v.a. bei Smartphones) Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können. Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind. Zweckmäßige Maßnahmen sind unter anderem: ✓ Protokollierungs- und Protokollauswertungssysteme werden eingesetzt bzw. sind als Teile von bestehenden Softwareapplikationen anwendbar ✓ Zugriff auf Datenverarbeitungssysteme nur nach Login möglich ✓ Xxxxx Xxxxxxxxxx von Passwörtern ✓ Zusätzlich zur automatischen Sperrung: manuelle Abmeldung beim Verlassen des Büros ✓ Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden. Zweckmäßige Maßnahmen sind unter anderem: ✓ Verschlüsselung (insbes. Laptops) ✓ Tunnelverbindung (VPN = Virtual Private Network) ✓ Elektronische Signatur möglich ✓ Keine Benutzung von nicht freigegebener Hard-/ Software ✓ Keine Weiterleitung von E-Mails an private E-Mail- Accounts von Mitarbeitern ✓ Vorsicht beim Umgang mit Backup-Bändern ✓ Vorgaben an Mitarbeiter bzgl. Ausdrucken von geheimen Unterlagen (Sicherstellung, dass kein anderer Zugriff auf Ausdrucke bekommt)...