Zugangskontrolle. Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
Zugangskontrolle. Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden.
Zugangskontrolle. Google ergreift unter anderem die folgenden Maßnahmen um die Nutzung von Datenverarbeitungsanlagen, mit denen Daten verarbeitet werden, durch Unbefugte zu verhindern: Sichere Zugangsverbindungen und Technologien zur Authentifizierungskontrolle sind implementiert, um den Zugang zu Google Produktivsysteme und interne Support-Tools zu reglementieren. Zugriffsrestriktionen stützen sich auf einen von Google entwickelten und verteilten Authentifizierungs-Service basierend auf Secure Socket Layer (SSL) Zertifikaten. Dieser Service bietet zudem Verschlüsselungsmethoden, um die Datensicherheit bei der Übertragung zu gewährleisten. Der Zugang zu internen Support-Tools an Autorisierte wird kontrolliert durch Access Control Lists (ACL). Verschlüsselungstechniken werden eingesetzt, um Benutzerauthentifizierungen und Administrator-Sessions über das Internet abzusichern. Der Datenfernzugriff auf Produktionsmaschinen benötigt eine Verbindung zum Firmennetzwerk, die über eine zweifache Authentifizierung geregelt ist. Google folgt einem formalen Prozess, um den Zugang zu Google-Ressourcen zu erlauben oder zu verweigern. Verschiedene Zugangsschutzmechanismen helfen dabei, sichere und flexible Zugriffe bereitzustellen. Einmalige Benutzerkennungen, starke Passwörter und periodische Überprüfungen der Zugriffslisten sind vorhanden, um die angemessene Verwendung von Benutzerkonten zu gewährleisten. Für kritische Systeme werden zudem Einmal- Kennwörter bzw. Einmal-Konten verwendet. Alle Gruppen, die Zugang zu Google Services haben, unterlaufen einer regelmäßigen Überprüfung. Alle genannten Maßnahmen sind in einem formalisierten Berechtigungskonzept beschrieben. Die Autorisierung bei Google Services wird jederzeit auf allen Ebenen des jeweiligen Systems erzwungen. Die Erteilung oder Bearbeitung von Zugriffsrechten basiert auf den Job-Verantwortlichkeiten des Benutzers oder auf einer Need-to-know-Basis und muss durch den zuständigen Vorgesetzten des Antragstellers autorisiert und bewilligt werden. Die Bewilligungen werden über Workflow-Tools durchgeführt. Der Zugriff auf Produktivsysteme wird nur geschulten und für die jeweilige Aktion berechtigten Benutzern gewährt. Ebenso wird der Zugriff auf Produktivsysteme im Falle einer Kündigung umgehend entzogen. Die Router sind entsprechend konfiguriert, um Google’s interne Netzwerk Domänen vor unautorisierten externen Verbindungen zu schützen und sicherzustellen, dass Computerverbindungen und Datenflüsse nicht die logische Zugriffsregelung...
Zugangskontrolle a) Die zur Durchführung des Auftrags vom Auftragsverarbeiter eingesetzten informationsverarbeitenden Systeme (Client- und Serversysteme) sind durch Authentifikations- und Autorisationssysteme geschützt.
b) Identifikations- und Authentifikationsinformationen (insbesondere in Form von Benutzernamen und Passwörtern), welche mit der Zugangsberechtigung zu den zur Durchführung des Auftrags eingesetzten informationsverarbeitenden Systemen verbunden sind, werden nur an die mit der Durchführung des Auftrags beauftragten Personen und lediglich in dem für die jeweilige Aufgabe erforderlichen Umfang vergeben.
c) Jede Vergabe von Zugangsberechtigungen wird für die Laufzeit des Auftrags dokumentiert.
d) Alle Zugänge und Kennungen („Accounts“) werden ausschließlich personenspezifisch vergeben. Die Benutzung von Accounts durch mehrere Personen (Gruppen-Accounts) unterbleibt grundsätzlich.
e) Identifikations- und Authentifikationsinformationen werden ausschließlich persönlich verwendet, ein in solchen Informationen enthaltenes Passwort wird als Initialpasswort vergeben und wird unverzüglich nach dem Erhalt durch die berechtigte Person entsprechend den in diesem Anhang festgelegten Bestimmungen auf ein nur der berechtigten Person bekanntes Passwort umgesetzt; jegliche Weitergabe unterbleibt. Sofern Unbefugte Kenntnis von Zugangsdaten erhalten, zeigt der Auftragsverarbeiter dies dem Verantwortlichen unverzüglich an.
f) Die Xxxx der Passwörter erfolgt in ausreichender Komplexität und Güte. Ausreichende Komplexität und Güte bedeutet mindestens eine Länge von zehn (10) Zeichen bei Nutzung von drei der folgenden 4 Kategorien (Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen), keine Verwendung generischer Begriffe oder von Eigennamen sowie die Unzulässigkeit mindestens der letzten drei (3) verwendeten Passwörter.
g) Der Auftragsverarbeiter hält Authentifikationsdaten (insbesondere Passwörter und kryptographische Schlüssel) gegenüber Unbefugten streng geheim, bewahrt diese nicht im Klartext auf und verwendet diese ausschließlich unter Einsatz einer dieses Anhangs entsprechenden Verschlüsselung oder als unumkehrbare kryptographische Prüfsumme (insbesondere bei der Speicherung und der Übertragung im Netzwerk).
h) Für die Verschlüsselung wird der AES Algorithmus mit 256 Bit und für Password Hashes der HMAC Algorithmus mit 512 Bit verwendet.
i) Xxxx Xxxxxxxxxx von Hardware an Mitarbeiter des Auftragnehmers wird für die Dauer des Auftrags dokumentiert.
Zugangskontrolle. Gewährleistungsziel: Verwehrung des Zugangs zu Datenverarbeitungssystemen, mit denen die (Auftrags-) Verarbeitung durchgeführt wird, für Unbefugte. Getroffene Maßnahmen:
2.1 Der Zugang zu Datenverarbeitungssystemen ist nur durch Authentifizierung möglich, wenigstens durch ein System von Benutzername und Passwort.
Zugangskontrolle. Maßnahmen
Zugangskontrolle. Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme (Computer) von Unbefugten genutzt werden können. Mit Zugangskontrolle ist die unbefugte Verhinderung der Nutzung von Anlagen gemeint. Möglichkeiten sind beispielsweise Bootpasswort, Benutzerkennung mit Passwort für Betriebssysteme und eingesetzte Softwareprodukte, Bildschirmschoner mit Passwort, der Einsatz von Chipkarten zur Anmeldung wie auch der Einsatz von CallBack-Verfahren. Darüber hinaus können auch organisatorische Maßnahmen notwendig sein, um beispielsweise eine unbefugte Einsichtnahme zu verhindern (z.B. Vorgaben zur Aufstellung von Bildschirmen, Herausgabe von Orientierungshilfen für die Anwender zur Xxxx eines „guten“ Passworts).
Zugangskontrolle. (i) Der Lieferant stellt sicher, dass geeignete Zugangskontrollmecha- nismen eingesetzt werden, um alle Benutzer (oder Einrichtungen) zu über- prüfen und zu authentifizieren, unabhängig davon, ob es sich um den Auf- tragnehmer, einen Dritten oder den Besteller handelt, bevor der Zugang zum Werk gewährt wird.
(ii) Alle Nutzer (oder Stellen), die Zugang zu dem Werk haben oder beantra- gen, werden im Rahmen eines festgelegten Zugangsverwaltungsprozesses bereitgestellt, verwaltet und autorisiert.
(iii) Der Anbieter verwendet eine Authentifizierungsmethode, die mindestens eine Kombination aus Benutzerkennung und Passwort unterstützt, wobei die Benutzerkennungen und Passwörter eindeutig sind, nicht neu zugewiesen werden und nicht von einer Gruppe von Benutzern gemeinsam genutzt wer- den. Bei administrativen Konten verlangt der Anbieter einen zusätzlichen Faktor für die Authentifizierung.
(iv) Der Anbieter verlangt von xxxxx Xxxxxxx, die von einer niedrigeren auf eine höhere Berechtigungs- oder Sensibilitätsstufe wechseln, sich erneut zu au- thentifizieren.
(v) Der Lieferant muss Passwörter und andere Zugangsdaten bei der Spei- cherung und Übermittlung durch geeignete Kontrollen schützen. Der Liefe- rant darf Passwörter nicht im Klartext übermitteln oder speichern und Pass- wörter bei der Anmeldung in den Systemen nicht sichtbar anzeigen.
(vi) Der Anbieter darf Benutzerkennungen und Passwörter nicht in Skripten oder Klartextdateien wie Shell-Skripten, Batch-Konfigurationsdateien und Verbindungsstrings fest codieren.
Zugangskontrolle. Digitale Zugänge zu den Speichermedien der personenbezogenen Daten sind generell vor fremden Zugriffen mittels passwortgeschützter Zugänge und von einem verschlüsselten Passwort-Manager zufällig generierter Passwörter zu schützen. Zugangsdaten und insb. Passwörter dürfen niemals lokal, sondern ausschließlich in einem SOC2-zertifizierten Passwort-Management Tool gespeichert werden. Auch das Teilen von neu angelegten oder gemeinsamen Zugängen erfolgt niemals unverschlüsselt über Standard-Kommunikationskanäle, sondern ausschließlich mittels der eingesetzten Passwort- Management Software. So werden Benutzerzugänge zentral verwaltet, dokumentiert und deren Gültigkeit regelmäßig überprüft. Grundsätzlich müssen Initialpasswörter, direkt nach deren Erhalt geändert und in einem persönlichen Passwort-Container in dem zertifizierten Passwort-Management Tool gespeichert werden. E-Mails werden lediglich über die zum Unternehmen gehörende und TLS- verschlüsselte Domain versendet und gelesen. Zudem werden Bildschirmarbeitsplätze nach 10 Minuten automatisch gesperrt und müssen durch erneute Authentifizierung entsperrt werden.
Zugangskontrolle. Für die Anmeldung an das Netzwerk ist ein Kennwort mit einer vorgegebenen Mindestlänge erforderlich. Dabei sind Zahlen und Sonderzeichen zu verwenden sowie Groß- und Kleinschreibung zu beachten. Für Zugriffe außerhalb des VPN wird eine 2-Faktor-Authentifizierung verlangt. Eine automatische Sperrung des Benutzers erfolgt nach drei falschen Eingaben bei der Benutzeranmel- dung. Das Kennwort ist spätestens nach 90 Tagen zu ändern. Die Aufforderung dazu erfolgt automatisch. Eine Aktivierung des Bildschirmschoners erfolgt nach 10 Minuten und kann nur wieder über Passwortein- gabe freigegeben werden. Benutzerauthentifizierung wird mittels eines zentralen Verzeichnisdienstes abgebildet. Grundsätzlich und soweit nicht technisch notwendig, ist ein Zugang zu Auftragsdaten nur mittels personifizierten Accounts zugelassen. Das System wird durch eine Firewall ständig überwacht. Es gibt eine Antivirus-Software auf System- ebene. Darüber hinaus ist für das Mail-System eine Antivirus-Software je Client sowie Server installiert. Es werden ausschließlich IT-Systeme eingesetzt, die vom Hersteller durch regelmäßige Sicherheitsup- dates unterstützt werden.