Zuordnung von Benutzerrechten. Der Zugriff auf Datenverarbeitungssysteme wird für Personen auf die jeweils mindestens notwendigen Daten durch Vergabe entsprechender Benutzerrechte eingeschränkt.
Zuordnung von Benutzerrechten c. Erstellen von Benutzerprofilen
Zuordnung von Benutzerrechten. ● Erstellen von Benutzerprofilen ● Passwortvergabe ● Passwort-Richtlinien (Mindestlänge, Komplexität etc.) ● Zwei-Faktor-Authentifizierung ● Authentifikation mit Benutzername / Passwort ● Einsatz von VPN-Technologie bei der Übertragung von Daten ● Einsatz von zentraler Smartphone-Administrations-Software (z.B. zum externen Löschen von Daten) ● Einsatz einer Software-Firewall ● Einsatz selbst-gehosteter Software im eigenen Netzwerk
Zuordnung von Benutzerrechten. Erstellen von Benutzerprofilen Berechtigungsmanagement Dokumentierter Prozess zur Rechtevergabe bei Neueintritt von Mitarbeitern Dokumentierter Prozess zum Rechteentzug bei Abteilungswechseln von Mitarbeitern Dokumentierter Prozess zum Rechteentzug bei Austritt von Mitarbeitern Funktionelle und/oder zeitlich limitierte Vergabe von Benutzerberechtigungen Verwendung von individuellen Passwörtern Login mit Benutzername und Passwort Login mit biometrischen Daten Separates BIOS-Passwort Automatische passwortgesicherte Sperrung des Bildschirms nach Inaktivität (Bildschirmschoner) Passwortrichtlinie mit Mindestvorgaben zur Passwortkomplexität: • Mindestens 8 Zeichen • Groß- und Kleinschreibung, Sonderzeichen, Zahl (davon mind. 4 Kriterien) • Verhinderung von Trivialpasswörtern (z.B. Passwort1, Passwort2, 123456, qwertz) • Passworthistorie • Verhinderung von PW nach positivem Abgleich mit Wörterbüchern • Eingabebeschränkung bestimmter Sonderzeichen zur Verhinderung von SQL- Injections • Automatische Sperrung von Nutzeraccounts nach mehrfacher Fehleingabe von Passwörtern • Angemessen sicheres Verfahren zum Zurücksetzen von Passwörtern Sonstiges: (z.B. Nutzung von Fido2) Hashing von gespeicherten Passwörtern Hashes werden „gesalzen“ (Salt) oder „gepfeffert“(Pepper) Verschlüsselung von Netzwerken Verschluss von Datenverarbeitungsanlagen (z.B. verschlossener Cage für Server) Sperrung von externen Schnittstellen (z.B. USB) Programmprüfungs- und Freigabeverfahren bei Neuinstallationen Verwendung von Intrusion-Prevention-Systemen Nutzung von VPN-Technologie Einsatz von Anti-Viren-Software: Server Einsatz von Anti-Viren-Software: Clients Einsatz einer Hardware-Firewall Mobile-Device-Management Aufbewahrung personenbezogener Daten/Datenträgern in verschließbaren Sicherheitsschränken oder in gesondert gesicherten Räumen Regelung zum Home Office / zu Telearbeit Sonstige Maßnahmen: --
Zuordnung von Benutzerrechten. Verwendung von sicheren Kennwörtern mit Ablaufzeit • Erzwingen von automatischen Sperrmechanismen und Komplexitätsanforderungen • Sperren von externen Schnittstellen (USB usw.) • Einsatz von Anti-Viren-Software • Einsatz von VPN-Technologie Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. • Berechtigungskonzept • Verwaltung der Rechte durch Systemadministrator • Passwortrichtlinie inkl. Passwortlänge und Passwortwechsel • Sichere Aufbewahrung von Datenträgern • Einsatz von Aktenvernichtern bzw. Dienstleistern Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. • Berechtigungskonzept • Festlegung von Datenbankrechten • Trennung von Produktiv- und Testsystem Pseudonymisierung und Verschlüsselung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO) Wird nach gesetzlichen Vorgaben oder auf Verlangen Betroffener oder Auftraggeber durchgeführt und protokolliert. Verschlüsselung wird bei mobilen Datenträgern eingesetzt.
Zuordnung von Benutzerrechten. Erstellen von Benutzerprofilen • Passwortvergabe • Authentifikation mit Benutzername / Passwort • Zuordnung von Benutzerprofilen zu IT-Systemen • Einsatz von VPN-Technologie • Sicherheitsschlösser • Schlüsselregelung (Schlüsselausgabe etc.) • Personenkontrolle beim Pförtner / Empfang • Ausgewähltes, persönlich bekanntes Reinigungspersonal • Verschlüsselung von mobilen Datenträgern • Einsatz von zentraler Smartphone-Administrations-Software (z.B. zum externen Löschen von Daten) • Einsatz von Anti-Viren-Software • Verschlüsselung von Datenträgern in Laptops / Notebooks • Einsatz einer Hardware-Firewall • Einsatz einer Software-Firewall Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass per- sonenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gele- sen, kopiert, verändert oder entfernt werden können. • Schutz der DV-Ausstattung • Verwaltung der Rechte durch Systemadministrator • Anzahl der Administratoren auf das „Notwendigste“ reduziert • Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Lö- schung von Daten • Sichere Aufbewahrung von Datenträgern • Verschlüsselung von Datenträgern • Gewährleistung der Datensicherheit und der Zugriffssicherung durch eine spezielle Sicherheitssoft- ware • Ausleseschutz mobilen Datenträger im Verlustfall • Einsatz anerkannter Softwarehersteller mit hinreichend sicheren Verschlüsselungsalgorithmen und Schlüssellängen
Zuordnung von Benutzerrechten. Authentifikation mit Benutzername / Passwort Vergabe von Passwörtern gemäß Passwortrichtlinie (Komplexitätsregeln) Einsatz von Firewallsystemen Begrenzung der Anmeldeversuche Implementierte Maßnahmen zur Verhinderung des unbefugten Lesens, Kopierens, Verändern oder Löschens von Datenträgern: Nur berechtigte Personen haben Zugang zu Räumen mit Datenträgern. Absicherung gemäß Beschreibung unter Punkt 1 Sichere Aufbewahrung von Datenträgern (abgeschottete Bereiche, gesicherte Ablage) Definierter Prozess zur Vernichtung/Entsorgung von Datenträgern gemäß Datenschutzbestimmungen Vermeidung der Nutzung von Datenträgern soweit möglich – Datenaustausch überwiegend über WAN / LAN Mobile Geräte (Notebooks, Handy, Tablet) sind verschlüsselt und mit Passwörtern / bzw. PIN gesichert Anweisung zur zentralen Datenhaltung auf File-Server / keine lokale Speicherung von Daten auf mobilen Geräten (Notebooks, Handy, Tablet).
Zuordnung von Benutzerrechten. ● Passwortvergabe auf Basis einer Passwortpolicy ● Authentifizierungen mittels Benutzernamen und Passwort ● Gehäuseverriegelung an den Serverracks ● Benutzerprofile ● Einsatz von VPN Technologie ● Sicherheitsschlösser ● Personenkontrolle beim Portier ● Tragepflicht von Berechtigtenausweisen ● Teilweiser Einsatz von Smartphone-Administrationsservices (Android) ● Einsatz von Antivirensoftware ● Einsatz von Firewalls
Zuordnung von Benutzerrechten. Verwendung von sicheren Kennwörtern mit Ablaufzeit • Erzwingen von automatischen Sperrmechanismen und Komplexitätsanforderungen • Sperren von externen Schnittstellen (USB usw.) • Einsatz von Anti-Viren-Software • Einsatz von VPN-Technologie • Berechtigungskonzept • Verwaltung der Rechte durch Systemadministrator • Passwortrichtlinie inkl. Passwortlänge und Passwortwechsel • Sichere Aufbewahrung von Datenträgern • Einsatz von Aktenvernichtern bzw. Dienstleistern • Berechtigungskonzept • Festlegung von Datenbankrechten • Trennung von Produktiv- und Testsystem (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO) Wird nach gesetzlichen Vorgaben oder auf Verlangen Betroffener oder Auftraggeber durchgeführt und protokolliert. Verschlüsselung wird bei mobilen Datenträgern eingesetzt.
Zuordnung von Benutzerrechten. ● Erstellen von Benutzerprofilen ● Kennwortverfahren ● Authentifikation mit Benutzername / Passwort