Technische Maßnahmen. Die nachfolgenden Maßnahmen stellen die zusätzlich ergriffenen Maßnahmen dar. Für den Zugriff auf das System hat ENIT folgende Maßnahmen getroffen: • Zugang ausschließlich über dienstliche Endgeräte • Endgeräte werden IT-seitig regelmäßigen Updates unterzogen • Applikationen dürfen ausschließlich nach Konsultation der hierfür vorliegenden Whitelist installiert werden. IT-seitig nicht zugelassene Applikationen dürfen nicht installiert werden • Ein Zugriff erfolgt ausschließlich durch eine verschlüsselte VPN-Verbindung • Windows Clients o Endpoint Security o Antivirus Software o Systemverschlüsselung − Kontrolle über das Gerät mit Möglichkeit zum remote „wipe“ bzw. „lock“ o komplette Verschlüsselung des Gerätes o geschützt durch sechsstelligen Pass Code o restriction policy − nicht vertrauenswürdige Zertifikate können nicht manuell akzeptiert werden − keine Diagnosedaten an Apple − Benutzer kann keinen 3rd-Party Apps manuell vertrauen Organisatorische Maßnahmen In organisatorischer Hinsicht wurden in Ergänzung zu den Maßnahmen der allgemeinen TOM verschiedene Zusatzvereinbarungen sowie interne Richtlinien erlassen. Dies umfasst unter anderem Folgende Regelungen und Verpflichtungen: • Zutritts- und Kontrollrecht des Arbeitsplatzes durch interne beauftragte Prüfer (z.B. Fachkraft für Arbeitssicherheit oder betrieblicher Datenschutzbeauftragter) • Verpflichtung auf interne Richtlinie zur Nutzung technischer Einrichtungen • Verpflichtung zum Schutz des Zugriffs unbefugter Dritter auf Arbeitsmittel • Untersagung der Verwendung eigener technischer Einrichtungen (Ausgenommen WLAN, Peripheriegeräten wie Tastatur und Maus ohne Treiberinstallation) • Verpflichtung, vertrauliche dienstliche Dokumente unter Verschluss zu halten • Verpflichtung auf Vertraulichkeit / zur Geheimhaltung
Technische Maßnahmen. Organisatorische Maßnahmen ☒ Festlegung der Sicherheitsbereiche ☒ Personenkontrolle beim Pförtner/Empfang ☒ Xxxxxxxxx Xxxxxxxxxxxxx ☐ Protokollierung der Besucher / Besucherbuch ☒ Sicherheitsschlösser ☒ Schlüsselregelung / Schlüsselbuch ☒ Chipkarten / Transponder-Schließsystem ☐ Sorgfältige Auswahl von Sicherheitspersonal ☒ Lichtschranken / Bewegungsmelder ☐ Tragepflicht von Mitarbeiter- / Gästeausweis ☐ Schließsystem mit Codesperre ☒ Personelle und organisatorische Zutrittskontrollmaßnahmen: ☒ Automatisches Zugangskontrollsystem □ ☐ Alarmanlage □ ☒ Videoüberwachung der Zugänge □ ☐ Absicherung von Gebäudeschächten □
Technische Maßnahmen. Organisatorische Maßnahmen ☒ Authentifikation mit Benutzer + Passwort ☒ Benutzerberechtigungen verwalten ☒ Authentifikation mit biometrischen Daten ☒ Erstellen von Benutzerprofilen ☒ Einsatz von Anti-Viren-Software ☒ Passwortvergabe / Passwortregeln ☒ Einsatz von Firewalls ☒ Personenkontrolle beim Pförtner / Empfang ☒ Einsatz von Mobile Device Management ☐ Protokollierung der Besucher / Besucherbuch ☒ Einsatz von VPN-Technologie ☒ Schlüsselregelung / Schlüsselbuch ☐ Gehäuseverriegelungen ☒ Sorgfältige Auswahl von Reinigungspersonal ☐ Sperren von externen Schnittstellen (z.B. USB-Anschlüsse) ☐ Sorgfältige Auswahl von Sicherheitspersonal ☒ Verschlüsselung von Datenträgern ☐ ☒ Verschlüsselung von Smartphones ☐
Technische Maßnahmen. Organisatorische Maßnahmen ☒ Einsatz von Aktenvernichtern ☒ Anzahl der Administratoren auf das „Notwendigste“ reduzieren ☒ Ordnungsgemäße Vernichtung von Daten- trägern (DIN 32757) ☒ Einsatz von Dienstleistern zur Akten- und Datenvernichtung (nach Möglichkeit mit Zertifikat) ☒ Physische Löschung von Datenträgern vor deren Wiederverwendung ☒ Erstellen eines Berechtigungskonzepts ☒ Protokollierung der Vernichtung von Daten ☒ Passwortrichtlinie inkl. Länge und Wechsel ☒ Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten ☒ Sichere Aufbewahrung von Datenträgern ☒ Verschlüsselung von Datenträgern ☒ Verwaltung der Benutzerrechte durch Systemadministratoren ☒ Verschlüsselung von Smartphones ☐ ☒ Einsatz von Anti-Viren-Software ☐ ☒ Einsatz von Firewalls ☐ ☒ Einsatz von Mailschutzsystemen ☐ ☐ Sandboxing
Technische Maßnahmen. Organisatorische Maßnahmen ☐ Bei pseudonymisierten Daten: Trennung der Zuordnungsdatei und der Aufbewahrung auf einem getrennten, abgesicherten IT-System ☒ Erstellung eines Berechtigungskonzepts ☒ Physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern ☒ Festlegung von Datenbankrechten ☒ Trennung von Produktiv- und Testsystem ☒ Logische Mandantentrennung (softwareseitig) ☐ Verschlüsselung von Datensätzen, die zu demselben Zweck verarbeitet werden ☐ Versehen der Datensätze mit Zweckattributen/Datenfeldern
Technische Maßnahmen. Organisatorische Maßnahmen ☐ ☐ Verwendung von Kennzeichen z.B. Kunden- /Mandantennummern anstelle von Namen (identifizierende Merkmale) ☐ ☐ Trennung identifizierenden Daten und der personenbezogenen Daten, sowie räumlich getrennte Aufbewahrung ☐ ☐ Prinzip der Datenminimierung wird ergriffen, d.h. Daten werden für die Zwecke der Verarbeitung notwendiger Maß beschränkt sein
Technische Maßnahmen. Organisatorische Maßnahmen ☒ Einrichtungen von VPN-Technologie ☐ Dokumentation der Empfänger von Daten und der Zeitspannen der geplanten Überlassung bzw. vereinbarter Löschfristen ☒ E-Mail-Verschlüsselung ☐ Erstellen einer Übersicht von regelmäßigen Abruf- und Übermittlungsvorgängen ☐ Sichere Transportbehälter/-verpackungen ☐ Sorgfältige Auswahl von Transportpersonal und –fahrzeugen ☒ Einsatz von Anti-Viren-Software ☐ Weitergabe von Daten in anonymisierter oder pseudonymisierter Form ☒ Einsatz von Firewalls ☐ ☒ Einsatz von Mailschutzsystemen ☐ ☐ Sandboxing ☐
Technische Maßnahmen. Organisatorische Maßnahmen ☐ Protokollierung der Eingabe, Änderung und Löschung von Daten ☒ Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen worden sind ☒ Einsatz von revisionssicheren Archivsystemen, z.B. Mailarchivierung, DMS, DATEV-Belegarchiv ☐ Erstellen einer Übersicht, mit welchen Applikationen welche Daten eingegeben, geändert und gelöscht werden können ☐ ☒ Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen) ☐ ☒ Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
Technische Maßnahmen. Organisatorische Maßnahmen ☒ Feuerlöschgeräte in Serverräumen ☐ Alarmmeldung bei unberechtigten Zutritten zu Serverräumen ☐ Feuer- und Rauchmeldeanlagen ☒ Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort ☐ Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen ☒ Erstellen eines Backup- & Recoverykonzepts ☐ Klimaanlage in Serverräumen ☒ Erstellen eines Notfallplans ☒ Schutzsteckdosenleisten in Serverräumen ☒ Testen von Datenwiederherstellung ☒ Unterbrechungsfreie Stromversorgung (USV) ☒ Serverräume nicht unter sanitären Anlagen ☒ Redundante Daten / Datenträger / Datenverarbeitungssysteme ☐ In Hochwassergebieten: Serverräume über der Wassergrenze ☒ Monitoring ☐ ☒ Archivierungssysteme intern/extern ☐ ☒ Einsatz von Anti-Viren-Software ☐ ☒ Einsatz von Firewalls ☐
Technische Maßnahmen. Organisatorische Maßnahmen ☐ ☒ Aktuelle Datensicherung und Kontrolle ☐ ☒ Errichtung eines Notfall-Management- Konzept ☐ ☒ Erstellung von Notfallplänen, sowie Handlungsanweisungen (Leitfäden) ☐ ☒ Regelmäßigen Termin der Datensicherung festlegen ☐ ☒ Datenrücksicherung ☐ ☒ Penetrationstests ☐ ☒ Verfügbarkeit von Ersatzhardware