Zugangskontrolle. Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
Zugangskontrolle. Es ist zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden. Es kann nur auf die Daten zugegriffen, für die eine Zugriffsberechtigung besteht. Daten können bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden.
Zugangskontrolle. Wie erfolgt die Vergabe von Benutzerzugängen? Benutzerzugänge werden nur sehr selektiv und nur nach Genehmigung durch die Geschäftsführung vergeben. Rechtevergabe und Änderung sind dokumentiert. Zugriff auf kaufmännische Dokumente und Kommunikationsinformationen sind falls notwendig, zusätzlich durch Passwörter geschützt. Wie wird die Gültigkeit von Benutzerzugängen überprüft? Benutzerzugänge werden direkt nach Ausscheiden des Mitarbeiters deaktiviert und 4-6 Wochen später gelöscht. Wie werden Benutzerzugänge inkl. Antragstellung, Genehmigungsverfahren etc. dokumentiert? Die Anlage und Veränderung von Benutzerzugängen wird dokumentiert. Wie wird sichergestellt, dass die Anzahl von Administrationszugängen ausschließlich auf die notwendige Anzahl reduziert ist und nur fachlich und persönlich geeignetes Personal hierfür eingesetzt wird? Notwendige Administrator-Zugänge werden auf Antrag und zeitlich beschränkt vergeben. Ist ein Zugriff auf die Systeme / Anwendungen von außerhalb des Unternehmens möglich (Heimarbeitsplätze, Dienstleister etc.) und wie ist der Zugang gestaltet? Der Einsatz von Heimarbeitsplätzen ist nicht vorgesehen. Ein Zugang zur Fernwartung der Systeme ist nicht realisiert. Einige Systeme sind bauartbedingt von der Ferne zu erreichen. Diese Systeme sind über eine Zwei-Faktor- Authentifizierung (2FA) gesichert. Gibt es eine Passwortrichtlinie? Wird eine Passwortkomplexität verlangt? Ja, die Passwortkomplexität sieht mindestens 11 Zeichen vor. Erforderlich sind mindestens: 1 Großbuchstabe, 1 Kleinbuchstabe, 1 Zahl, 1 Sonderzeichen. Werden mobile IT-Systeme verschlüsselt? Ja, mittels BitLocker. Werden mobile Datenträger verschlüsselt? Ja, mittels BitLocker, sofern notwendig. Wie werden IT-Systeme vor Viren und Schadsoftware geschützt? Jedes System verfügt über einen vollwertigen Virenscanner der Firma ESET, sofern anwendbar. IOS- Systeme sind bauartbedingt über einen Sandbox-Modus geschützt. Wie werden unberechtigte Zugriffe von Dritten auf IT-Systeme erkannt und unterbunden? Das Netzwerk ist von außerhalb gegen unberechtigte Zugriffe durch eine Firewall geschützt. Die Firewall entspricht aktuellen Sicherheitsstandards und wird regelmäßig überprüft.
Zugangskontrolle. Google ergreift unter anderem die folgenden Maßnahmen um die Nutzung von Datenverarbeitungsanlagen, mit denen Daten verarbeitet werden, durch Unbefugte zu verhindern: Sichere Zugangsverbindungen und Technologien zur Authentifizierungskontrolle sind implementiert, um den Zugang zu Google Produktivsysteme und interne Support-Tools zu reglementieren. Zugriffsrestriktionen stützen sich auf einen von Google entwickelten und verteilten Authentifizierungs-Service basierend auf Secure Socket Layer (SSL) Zertifikaten. Dieser Service bietet zudem Verschlüsselungsmethoden, um die Datensicherheit bei der Übertragung zu gewährleisten. Der Zugang zu internen Support-Tools an Autorisierte wird kontrolliert durch Access Control Lists (ACL). Verschlüsselungstechniken werden eingesetzt, um Benutzerauthentifizierungen und Administrator-Sessions über das Internet abzusichern. Der Datenfernzugriff auf Produktionsmaschinen benötigt eine Verbindung zum Firmennetzwerk, die über eine zweifache Authentifizierung geregelt ist. Google folgt einem formalen Prozess, um den Zugang zu Google-Ressourcen zu erlauben oder zu verweigern. Verschiedene Zugangsschutzmechanismen helfen dabei, sichere und flexible Zugriffe bereitzustellen. Einmalige Benutzerkennungen, starke Passwörter und periodische Überprüfungen der Zugriffslisten sind vorhanden, um die angemessene Verwendung von Benutzerkonten zu gewährleisten. Für kritische Systeme werden zudem Einmal- Kennwörter bzw. Einmal-Konten verwendet. Alle Gruppen, die Zugang zu Google Services haben, unterlaufen einer regelmäßigen Überprüfung. Alle genannten Maßnahmen sind in einem formalisierten Berechtigungskonzept beschrieben. Die Autorisierung bei Google Services wird jederzeit auf allen Ebenen des jeweiligen Systems erzwungen. Die Erteilung oder Bearbeitung von Zugriffsrechten basiert auf den Job-Verantwortlichkeiten des Benutzers oder auf einer Need-to-know-Basis und muss durch den zuständigen Vorgesetzten des Antragstellers autorisiert und bewilligt werden. Die Bewilligungen werden über Workflow-Tools durchgeführt. Der Zugriff auf Produktivsysteme wird nur geschulten und für die jeweilige Aktion berechtigten Benutzern gewährt. Ebenso wird der Zugriff auf Produktivsysteme im Falle einer Kündigung umgehend entzogen. Die Router sind entsprechend konfiguriert, um Google’s interne Netzwerk Domänen vor unautorisierten externen Verbindungen zu schützen und sicherzustellen, dass Computerverbindungen und Datenflüsse nicht die logische Zugriffsregelung...
Zugangskontrolle. Gewährleistungsziel: Verwehrung des Zugangs zu Datenverarbeitungssystemen, mit denen die (Auftrags-) Verarbeitung durchgeführt wird, für Unbefugte. Getroffene Maßnahmen:
Zugangskontrolle. Maßnahmen
Zugangskontrolle. Digitale Zugänge zu den Speichermedien der personenbezogenen Daten sind generell vor fremden Zugriffen mittels passwortgeschützter Zugänge und von einem verschlüsselten Passwort-Manager zufällig generierter Passwörter zu schützen. Zugangsdaten und insb. Passwörter dürfen niemals lokal, sondern ausschließlich in einem SOC2-zertifizierten Passwort-Management Tool gespeichert werden. Auch das Teilen von neu angelegten oder gemeinsamen Zugängen erfolgt niemals unverschlüsselt über Standard-Kommunikationskanäle, sondern ausschließlich mittels der eingesetzten Passwort- Management Software. So werden Benutzerzugänge zentral verwaltet, dokumentiert und deren Gültigkeit regelmäßig überprüft. Grundsätzlich müssen Initialpasswörter, direkt nach deren Erhalt geändert und in einem persönlichen Passwort-Container in dem zertifizierten Passwort-Management Tool gespeichert werden. E-Mails werden lediglich über die zum Unternehmen gehörende und TLS- verschlüsselte Domain versendet und gelesen. Zudem werden Bildschirmarbeitsplätze nach 10 Minuten automatisch gesperrt und müssen durch erneute Authentifizierung entsperrt werden. Eine für den Betrieb erforderliche, auf ein Minimum reduzierte Anzahl an Administratoren, welche Benutzerzugänge und -rollen verwalten können, soll einen minimal möglichen Zugriffsumfang garantieren. Zudem werden für unterschiedliche Aufgabenprofile dezidierte Nutzerrollen erstellt, mit denen einzelnen Nutzern nur die minimal erforderlichen Nutzungs- und Zugangsberechtigungen erteilt werden. Generell sollen keinerlei personenbezogene und vertrauliche Daten lokal oder in Papierform überführt oder aufbewahrt werden. Der Zugriff auf Datenbanken sowie die Eingabe, Änderung und Löschung von Daten werden mittels Microsoft azure Services Log protokolliert und sind nur durch Administratoren einsehbar.
Zugangskontrolle. Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. • Authentifikation für Mitarbeiter nur mit Benutzername und Passwort • Strenge Passwortregeln für Mitarbeiter • Umfassende Protokollierung • Einsatz von Anti-Viren-Software • Einsatz von Firewalls und IDS • Einsatz von Verschlüsselung und VPN-Technologien • Getrennte Netzbereiche für Administrations- und Wartungszwecke Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen Vereinbarung zur Auftragsdatenverarbeitung Seite 12 von 14 gem. Art. 28 Abs. 3 DSGVO Stand: 18.05.18 beibob medienfreunde Anlage 3 – Technische und organisatorische Maßnahmen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. • Restriktive Berechtigungsregelungen • Umfassende Protokollierung • Einsatz von Aktenvernichtern • Sichere Aufbewahrung von Datenträgern • Ordnungsgemäße Vernichtung von Datenträgern • Sichere Löschung von Datenträgern vor Wiederverwendung Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden. • Firmen-Daten von Kunden-Daten strikt getrennt • Trennung von Produktiv- und Testsystemen Maßnahmen, die sicherstellen, dass Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr oder schwer einer spezifischen betroffenen Person zugeordnet werden können. • Kurze Vorhaltezeiten von Log-Dateien • Reduktion von Log-Dateien auf das Nötigste
Zugangskontrolle. Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme (Computer) von Unbefugten genutzt werden können. Mit Zugangskontrolle ist die unbefugte Verhinderung der Nutzung von Anlagen gemeint. Möglichkeiten sind beispielsweise Bootpasswort, Benutzerkennung mit Passwort für Betriebssysteme und eingesetzte Softwareprodukte, Bildschirmschoner mit Passwort, der Einsatz von Chipkarten zur Anmeldung wie auch der Einsatz von Call-Back-Verfahren. Darüber hinaus können auch organisatorische Maßnahmen notwendig sein, um beispielsweise eine unbefugte Einsichtnahme zu verhindern (z.B. Vorgaben zur Aufstellung von Bildschirmen, Herausgabe von Orientierungshilfen für die Anwender zur Xxxx eines „guten“ Passworts). Technische Maßnahmen Organisatorische Maßnahmen ☒ Login mit Benutzername + Passwort ☒ Zentrale Verwaltung von Benutzerberechtigungen ☒ Login mit biometrischen Daten Anmeldung Tablet, Handy, einzeln verwaltet durch den MA ☒ Autorisierungsprozess für Zugangsberechtigungen ☒ Single Sign-On teilweise ☒ Erstellen von Benutzerprofilen ☐ Zwei-Faktor-Authentifizierung (TAN, Token, Chipkarten, etc.) ☒ Zentrale Passwortvergabe ☒ Anti-Viren-Software Server Kaspersky ☒ sichere Dokumentation und Aufbewahrung der Passwörter ☒ Anti-Virus-Software Clients s.o. ☒ Richtlinie „Sicheres Passwort“ ☒ Anti-Virus-Software mobile Geräte Kaspersky- in der Einführung ☒ Richtlinie „Löschen / Vernichten“ ☒ Firewall Watch Guard, Windows/Linux Firewall ☒ Richtlinie „Clean desk“ ☒ Intrusion Detection/Prevention Systeme s.o. ☒ Allg. Richtlinie zur IT-Sicherheit ☒ Mobile Device Management Kaspersky-in der Einführung ☒ Mobile Device Policy BV ☒ Einsatz VPN bei Remote-Zugriffen ☒ Anleitung „Manuelle Desktopsperre“ ☒ Verschlüsselung von Datenträgern Notebooks ☒ Begrenzung der Anzahl befugter Benutzer ☐ Verschlüsselung Smartphones ☒ Kennwortverfahren (regelmäßige Änderungen) ☐ Gehäuseverriegelung ☐ BIOS Schutz (separates Passwort) Ggf. in der Einführung ☐ Sperre externer Schnittstellen (USB) ☒ Automatische Desktopsperre ☒ Verschlüsselung von Notebooks / Tablet ☒ Nicht-reversible Vernichtung von Datenträgern Weitere Maßnahmen: Keine weiteren Maßnahmen. Zugriffskontrolle Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert o...
Zugangskontrolle. Für die Anmeldung an das Netzwerk ist ein Kennwort mit einer vorgegebenen Mindestlänge erforderlich. Dabei sind Zahlen und Sonderzeichen zu verwenden sowie Groß- und Kleinschreibung zu beachten. Für Zugriffe außerhalb des VPN wird eine 2-Faktor-Authentifizierung verlangt. Eine automatische Sperrung des Benutzers erfolgt nach drei falschen Eingaben bei der Benutzeranmel- dung. Das Kennwort ist spätestens nach 90 Tagen zu ändern. Die Aufforderung dazu erfolgt automatisch. Eine Aktivierung des Bildschirmschoners erfolgt nach 10 Minuten und kann nur wieder über Passwortein- gabe freigegeben werden. Benutzerauthentifizierung wird mittels eines zentralen Verzeichnisdienstes abgebildet. Grundsätzlich und soweit nicht technisch notwendig, ist ein Zugang zu Auftragsdaten nur mittels personifizierten Accounts zugelassen. Das System wird durch eine Firewall ständig überwacht. Es gibt eine Antivirus-Software auf System- ebene. Darüber hinaus ist für das Mail-System eine Antivirus-Software je Client sowie Server installiert. Es werden ausschließlich IT-Systeme eingesetzt, die vom Hersteller durch regelmäßige Sicherheitsup- dates unterstützt werden.