Informationssicherheit und Datenschutz

bei der PCS Beratungscontor AG.

Wir begleiten unsere Kunden in vielen Bereichen. Eine langwährende und intensive Zusammenarbeit zahlt sich für beide Seiten aus. Für diese Zusammenarbeit auf höchstem Niveau haben wir Einblick in personenbezogene und geschäftliche Informationen bei unseren Kunden.

Wir informieren Sie, wie Informationssicherheit und Datenschutz bei uns umgesetzt werden. Wir unterstützen Sie auch dabei, die rechtlichen Vorgaben im Bereich „Datenschutz“ einzuhalten.

Nach Art. 28 der Datenschutzgrundverordnung (DSGVO) sind Sie als Kunde verantwortlich, sich beim Auslagern der Datenverarbeitung zu überzeugen, dass der Auftragsverarbeiter angemessene und geeignete Maßnahmen zur Sicherheit der Verarbeitung getroffen hat.

I. Einleitung

Sicherheit steht an erster Stelle

Als IT-Unternehmen sind wir für diverse Kunden in unterschiedlichen Bereichen tätig. Dabei beraten wir mehrere Kunden mit einem sehr hohen Sicherheitsniveau. Informationssicherheit ist für uns eine Selbstverständlichkeit. Wir möchten Sie auf diesen Seiten über unsere Maßnahmen informieren, um auch Ihre Informationen zu schützen.

Umgang mit sensiblen Daten ist unser tägliches Geschäft. Ob unsere Beschäftigten direkt bei Ihnen vor Ort arbeiten, von unseren Büros oder nach Absprache von unterwegs bzw. aus dem Homeoffice heraus. Informationssicherheit sind in unserem Geschäft unverzichtbar.

Unsere Mitarbeiter wissen schon bei Unterzeichnung des Arbeitsvertrags: Wer mit vertraulichen personenbezogenen und geschäftlichen Daten arbeitet, trägt eine große Verantwortung. Hier setzen wir besonders hohe Standards an. Unsere Beschäftigten müssen die gesetzlichen Vorschriften und unsere internen Regeln zum Datenschutz kennen und umsetzen. Dafür sorgen wir durch regelmäßige Schulungen. Auch unsere Geschäftspartner müssen ihrer Fürsorgepflicht in Sachen Datenschutz nachkommen. Unsere Sicherheitsleitlinie formuliert weitreichende Ansprüche an uns selbst und unsere Partner.

II. Organisatorische Umsetzung

Sicherheit in der Organisation

Informationssicherheit und Datenschutz sind bei der PCS Beratungscontor AG eine ganzheitliche Aufgabe, die das Unternehmen auf allen Ebenen erfüllt. Der Informationssicherheitsbeauftragte und der externe Datenschutzbeauftragte sind organisatorisch im Unternehmen eingebunden und berichten direkt dem Vorstand.

Beide wirken darauf hin, dass die gesetzlichen Vorgaben der DSGVO und weiterer Gesetze eingehalten werden, die Informationssicherheit fachgerecht umsetzt ist und sich ständig weiterentwickelt. Unterstützt werden diese von den Vertretern der Fachbereiche, die die Anforderung operativ umsetzen. Sie geben Hilfestellung, wenn es darum geht, die hohen Anforderungen an Schutz und Sicherung der verarbeiteten Daten in die Praxis umzusetzen.

Sensibilisieren, beraten, kontrollieren – das sind unsere Werte für die Umsetzung einer guten Informationssicherheit und der datenschutzrechtlichen Vorgaben. Dabei orientieren wir uns an den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik.

III. Datenverarbeitung im Auftrag

Rechtliche Grundlagen

Der Gesetzgeber hat mit Art. 28 DSGVO Regeln geschaffen, die Sie verpflichten, nur geeignete Auftragsverarbeiter einzusetzen. Die Nichtbeachtung kann Bußgelder nach sich ziehen. Dabei bleibt der Kunde verantwortlich im Sinne der DSGVO.

Bei der Auswahl des Dienstleisters hat der Auftraggeber insbesondere die Eignung der getroffenen technischen und organisatorischen Maßnahmen zum Schutz der dem Auftragsverarbeiter überlassenen Daten zu prüfen. Zudem muss sich der Kunde vor Beginn der Datenverarbeitung und regelmäßig auch danach von der Einhaltung dieser Maßnahmen überzeugen und das Ergebnis dokumentieren.

Die PCS Beratungscontor AG hilft ihren Kunden dabei, sich detailliert zu informieren, ob die Informationssicherheit den eigenen Ansprüchen entspricht.

Die PCS Beratungscontor AG verpflichtet sich, ihr überlassene Informationen nur im Rahmen der Weisungen des Auftraggebers zu verarbeiten, sie durch angemessene Vorkehrungen vor Verlust, Manipulation und Missbrauch zu schützen und sie nicht an unbefugte Dritte weiterzugeben. Sämtliche Rechte und Pflichten werden in der Auftragsverarbeitungsvereinbarung zwischen dem Kunden und der PCS Beratungscontor AG geregelt und im Auftragsmanagement umgesetzt. Auf den folgenden Seiten werden die etablierten Maßnahmen zur Sicherheit detailliert beschrieben.

Sofern Unterauftragsverarbeiter eingesetzt werden, übernehmen diese die Verpflichtungen in Bezug zu Informationssicherheit und Datenschutz und werden von uns vorab auf Eignung geprüft. Bevor weitere Unterauftragsverarbeiter im Sinne des Art. 28 DSGVO eingesetzt werden, werden Sie darüber informiert. Sollten Sie keine Auftragsverarbeitungsvereinbarung vorrätig haben, wir haben bereits die Vereinbarung unterschriftsreif für Sie vorbereitet.

Vertraulichkeit

Alle Beschäftigten werden schon mit Eintritt auf die Vertraulichkeit im Umgang mit personenbezogenen und geschäftsrelevanten Informationen verpflichtet. Sofern eine besondere Verschwiegenheitspflicht besteht, wie z.B. bei Daten, die dem Berufsgeheimnis unterliegen, wird eine gesonderte Vertraulichkeitserklärung geschlossen. Das heißt, Inhalte und Umstände von Kommunikationsvorgängen unserer Kunden bleiben geheim. Durch Schulungen und Informationsveranstaltungen sorgen wir dafür, dass die Mitarbeiter mit den gesetzlichen Vorgaben vertraut sind. Regelmäßige Online-Schulungen und Seminare zum Thema Informationssicherheit sind selbstverständlich.

Da sich Vorschriften, Technik und organisatorische Rahmenbedingungen stetig ändern, haben wir einen kontinuierlichen Verbesserungsprozess etabliert, um unsere Maßnahmen für die Informationssicherheit stetig zu optimieren.

Unser Informationssicherheitskonzept umfasst bauliche, personelle, organisatorische und technische Vorkehrungen, um die Sicherheit der Informationen zu gewährleisten. Die technischen und organisatorischen Maßnahmen sollen unbefugte Datenzugriffe verhindern und einen ordnungsgemäßen Umgang mit Daten und Datenträgern sicherstellen. Die Wirksamkeit dieser Maßnahmen überprüfen wir durch unabhängige interne und externe Audits mit wechselnden Schwerpunkten. Die Ergebnisse dieser Überprüfungen bilden die Grundlage für gezielte Verbesserungsmaßnahmen.

Informationssicherheit

Im Folgenden geben wir einen Überblick über unsere Sicherheitsmaßnahmen nach Art. 32 DSGVO. Diese werden regelmäßig im Rahmen von Datenschutzprüfungen und IT-Sicherheitsaudits überprüft. Aus Sicherheitsgründen können wir die Sicherheitsmaßnahmen nicht im letzten Detail darstellen. Auch sind nicht unbedingt alle Maßnahmen für Sie relevant, wenn z.B. die gesamte Datenverarbeitung in Ihrem Unternehmen stattfindet. Auf den Folgeseiten erhalten Sie weiterführende Informationen.

IV. Einzelmaßnahmen

Die Einzelmaßnahmen in der Übersicht

1. Management & Organisation

Schutz von Informationen durch Einsatz bestehender interner und externer Kompetenzen zur Schaffung stabiler Sicherheitsstrukturen in der Organisation.

2. Vertraulichkeit

Schutz der Informationen vor Unbefugten durch geeignete Maßnahmen der Gebäudesicherheit, Zutritten, Zugang und Zugriff auf Informationssysteme.

3. Integrität

Schutz von Informationen vor unbeabsichtigter oder unbefugter Veränderung oder unrechtmäßigem oder fahrlässigem Handeln.

4. Verfügbarkeit

Schutz von Informationen vor unrechtmäßigem oder fahrlässigem Handeln durch Nichtverfügbarkeit, Systemüberlastungen oder -abstürzen und physikalischen und technischen Zwischenfällen.

5. Awareness der Mitarbeiter

Schutz von Informationen durch regelmäßig geschultes Personal im Datenschutz und der Informationssicherheit.

6. Auswahl/Einsatz von Ressourcen

Schutz von Informationen durch bewusste Auswahl und fachgerechten Einsatz geeigneter Clients, mobiler Datenspeicher, Serversysteme, Webseiten, Anwendungen, Netz-werk, Archivierung und externer Dienstleister.

7. Dokumentation

Schutz von Informationen durch Dokumentation der Verarbeitungstätigkeiten, sicherheitsrelevanten Maßnahmen und Prüfungen.

8. Wirksamkeit & Protokollierung

Schutz von Informationen durch regelmäßige Protokollierung, Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Sicherheitsmaßnahmen.

Die Einzelmaßnahmen im Detail dargestellt

1. Management & Organisation

Schutz von Informationen durch Einsatz bestehender interner und externer Kompetenzen zur Schaffung stabiler Sicherheitsstrukturen in der Organisation:

  • Eine geeignete Organisationstruktur für Informationssicherheit ist vorhanden und die Informationssicherheit ist in die organisationsweiten Prozesse und Abläufe integriert.
  • Kommunikation der Sicherheitsleit- und -richtlinie der Geschäftsleitung an alle Beschäftigten.
  • Die Rollen der einzelnen Mitarbeiter im Sicherheitsprozess sind eindeutig festgelegt.
  • Regelmäßige Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen nach dem PDCA-Zyklus (Plan-Do-Check-Act)
  • Konzepte und Dokumentationen im Sicherheitsumfeld werden regelmäßig überprüft und aktuell gehalten.
  • Einsatz eines geeigneten Informationssicherheitsmanagementsystems gem. Bundesamt für Informationssicherheit (BSI).
  • Die Rollen und Verantwortlichkeiten im Bereich der Sicherheit sind im eigenen Betrieb bekannt und besetzt (u.a. Informationssicherheitsbeauftragter (ISB), IT-Leiter und externer Datenschutzbeauftragter (DSB).
  • Konsequente Einbindung des ISBs und DSBs bei Sicherheitsfragen.
  • Ausreichende fachliche Qualifikation des ISB und DSB für sicherheitsrelevante Fragestellungen und Möglichkeiten zur Fortbildung für dieses Thema.
  • Durchführung von regelmäßigen Audits des ISB und DSB nach Art. 32 DS-GVO zur Sicherheit der Verarbeitung.
  • Kenntnis der zuständigen Datenschutzaufsichtsbehörde sowie Wissen über die Meldeverpflichtungen nach Art. 33 und 34 DS-GVO (Verletzung der Sicherheit).
  • Konsequente Dokumentation bei Sicherheitsvorkommnissen (Security Reporting, Ereignis- und Aktivitätsjournal).
  • Aktive Unterstützung der Zusammenarbeit des DSB mit dem ISB durch die Unternehmensleitung.
  • Erkenntnisse über (neue) digitale Bedrohungen werden gesammelt und potenzielle Auswirkungen auf den eigenen Betrieb abgeleitet
  • Festgelegte Prozesse zur Einbeziehung eines externen Unternehmens für Forensik und IT-Sicherheit bei Sicherheitsvorfällen.
  • Mindestens jährliche Tätigkeitsberichte der Sicherheitsorganisation an den Vorstand mit Ableitung und Vorschlägen zu konkreten Optimierungsmaßnahmen.
  • Einsatz von qualifiziertem Personal und Dienstleister mit Vertreterregelung für die Administration von IT-Systemen, wie z.B. Server, Datensicherung, Netzwerk, Clients oder Firewall.

2.1. Vertraulichkeit – Zutrittskontrolle

Unbefugten ist der Zutritt zu den vom Auftragnehmer zwecks Erbringung der Verarbeitung genutzten technischen Einrichtungen zu verwehren:

  • Regelungen für Unternehmensexterne (Begleitung des Besuchers durch Mitarbeiter, Trennung von Bearbeitungs- und Publikumszonen).
  • Festlegung befugter Personen inklusive Umfang der jeweiligen Befugnisse, Reduktion der zutrittsberechtigten Personen auf ein Minimum.
  • Umsetzung einer Schlüsselregelung für manuelle und elektronische Zutrittsmittel für den Zutritt in die Büros
    • Dokumentation der Vergabe und Rücknahme von Schlüsseln inkl. Verhalten bei Verlust durch z.B. Diebstahl.
    • Verwendung neutraler elektronischer Schlüssel (Token)
    • Unterschiedliche Zutrittsberechtigungen je nach Aufgabengebiet
    • Zeitliche Restriktionen an werkfreien Tagen.
    • Sofortiger Entzug der Zutrittsmöglichkeit bei Verlust oder Austritt aus dem Unternehmen durch Sperrung der elektronischen Schlüssel, bzw. durch Austausch der Sicherheitsschlösser.
  • Umsetzung eines Konzeptes für mobiles Arbeiten, wie z.B. Einsatz von Schlössern bei Laptops, organisatorische Anweisungen.
  • Mechanische Sicherungen an der Eingangstür, wie z.B. Sicherheitsschlösser, Sicherheitsglas, Außenknauf und automatischer Türschließer.
  • Zentraler Empfangsbereich, Sichtkontakt vor Gewährung des Zutritts / Gegensprechanlage.
  • Separates Schließsystem für Netzwerk- und Verteilerschränke.
  • Abschließbare Schränke für sensible Aktenordner und organisatorische Anweisungen bzgl. CleanDesk-Policy inkl. regelmäßiger Kontrolle.
  • Stabile und einbruchshemmende Fenster, Türen und Zylinder im 1. Stock eines Bürokomplexes gem. DIN 1627 (RC…).
  • Gerätesicherungen vorhandener IT-Infrastruktur gegen Diebstahl, Manipulation oder Beschädigung einschl. organisatorische Regelungen zur Mitnahme mobiler Geräte, d.h. Einschluss in abschließbare Schränke nach längerer Abwesenheit.
  • Reinigungsmanagement
    • Vertraulichkeitsvereinbarung mit dem Dienstleister.
    • Regelungen zur Dienstleistung, zu den Zutrittsberechtigten und Zeiträume einschl. regelmäßiger Kontrolle des Dienstleisters.
  • Konzept für Besprechungsräume, wie z.B.
    • Diebstahlsicherung und Administration vorhandener Gerätschaften.
    • Regelungen zur Verwendung mitgebrachter IT-Systeme (Netzzu-gänge und TK-Schnittstelle).
    • Schließregelungen für Türen und Fenster.
    • Verkabelungs- Netzwerk- und Stromkonzept (separates Netzwerk).
  • Prozess zur Besucherregelung und Begleitpflicht für betriebsfremdes Personal.

2.2. Vertraulichkeit – Zugangskontrolle

Das Eindringen Unbefugter in die DV-Systeme und die unbefugte Systemnutzung sind zu verhindern:

  • Übergreifendes Rollen- und Berechtigungskonzept für Endgeräte und Hard- und Software für interne und externe Mitarbeiter
    • System zur Verwaltung von Benutzeridentitäten.
    • Einweisung aller Mitarbeiter in den Umgang mit Authentifizierungsverfahren und -mechanismen.
    • Geregelter Prozess zur zentralen Verwaltung von Benutzeridentitäten, insbesondere bei Zuweisung (z.B. neuer Mitarbeiter), Änderung (z.B. Namenswechsel nach Heirat), Entzug (z.B. Weggang Mitarbeiter) und ungeplanter längerer Abwesenheit.
    • Vergabe von eindeutigen Kennungen für jeden Nutzer, Vermeidung von Gruppenkennungen.
    • Einsatz administrativer Rollen (z.B. Anlage neuer Benutzer, Durchführung von Backups, Konfiguration der Firewall) für die IT-Administration.
    • Aufgaben Trennung von Administrations- und normalen Nutzerkennungen, z.B. Internetnutzung oder E-Mail-Kommunikation.
  • Sperren von externen Schnittstellen (USB etc.)
  • Einsatz spezieller Sicherheitssoftware (Anti-Malware, Viren-Scanner, Soft- und Hardware-Firewall).
  • Absicherung der Endgeräte über Microsoft Endpoint-Protection.
  • Sichere (verschlüsselte) Authentisierungsverfahren entsprechend dem Schutzbedarf der Informationen:
    • Erzwingen von starken Passwörtern und Veröffentlichung einer Richtlinie zum Umgang mit Kennungen z.B. mind. 10-stellig bei zufälligen komplexen Zeichen, mind. 16-stellig bei einfacheren Zeichenfolgen ohne direkte Verwendung von üblichen Wörtern.
    • Einsatz biometrischer Sicherungen (z.B. Gesichts- und Fingerabdruckerkennung).
    • Einsatz und Regelungen von Passwortsafes zur Administration geräte- und kundenbezogener Passwörter.
    • Weitgehend automatische Umsetzung der Passwortrichtlinie für starke Passwörter in den Systemen mit Nutzerkennungen.
    • Monitoring der Zugangsversuche mit Reaktion auf Sicherheitsvorfälle.
    • Sperrung von Passwörtern und Neuvergabe bei einer hohen Anzahl von Fehlversuchen, einem Verdachtsfall oder nach einem Sicherheitsvorfall.
      Bei erstmaligem Login eines neuen Nutzers oder Zurücksetzung des Passworts durch IT (z.B. bei Vergessen des Passworts) muss eine Passwortänderung durch den Nutzer erfolgen.

2.3. Vertraulichkeit – Zugriffskontrolle

Nutzer sollen nur auf die personenbezogenen Daten zugreifen können, die für ihre Tätigkeit erforderlich sind. Durch Einführung von Benutzerrechten zu bestimmten Rollen (z.B. Buchhaltung, IT-Administration) werden unterschiedliche Rechte an konkrete Personen zugewiesen:

  • Erstellen von Rollenprofilen für die Nutzer von IT-Systemen unter Einbeziehung der jeweiligen Aufgabenbereiche.
  • Zugriffsbeschränkungen (gemäß „Need-to-Know“ und „Least Privilege“) für Aufgaben der Benutzer (funktional und zeitlich).
  • Konzept für Regelungen zur Zugriffs- und Benutzerberechtigung
    • Regelungen zur Verwaltung der Rollen (Zuweisung, Änderung und Entzug).
    • Regelmäßige Überprüfung der Berechtigungen (mindestens einmal pro Jahr), ob Berechtigungszuweisungen noch erforderlich und konzeptionell noch den Anforderungen entsprechen.
    • Keine Administratorkennung für Nutzer, die keine Administrationsfunktion ausführen.
  • Verschlüsselte Speicherung der Daten gem. definierter Schutzklassen.
  • Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten.
  • Protokollierung von unberechtigten Zugriffsversuchen und anlassbezogene Auswertung.
  • Umsetzung von Regelungen zur Löschung von Daten pro Aufgabenbereich.
  • Umsetzung von Regelungen zur Entsorgung von Speichermedien (Einsatz von Aktenvernichtern bzw. Dienstleistern gem. DIN 66933).
  • Umsetzung von Regelungen zum Umgang mit elektronischen Speichermedien.

3. Integrität

Schutz von Informationen vor unbeabsichtigter oder unbefugter Veränderung oder unrechtmäßigem oder fahrlässigen Handeln durch Trennung von Daten, die zu unterschiedlichen Zwecken verarbeitet worden sind, sichere Übermittlung und Speicherung von Daten und zur nachträglichen Prüfung von Veränderungen:

  • Trennung von Datenbeständen zur Vermeidung einer Zweckentfremdung durch
    • logische Mandantentrennung (softwareseitig).
    • Eine Festlegung von rollen- und benutzerspezifischen Daten-bankrechten.
  • Kontrolle unbefugter Weitergabe durch
    • Regeln zum Datentransfer für alle Beschäftigten innerhalb und außerhalb des Unternehmens.
    • Verschlüsselung von mobilen Datenträgern, wie z.B. DVD, USB-Sticks, Festplatte mit Bitlocker bzw. AES 256 Bit-Verschlüsselung.
    • Transportverschlüsselung für E-Mail und Datentransfer.
    • Einsatz von digitalen Signaturen bei hohem Schutzbedarf.
    • Einsatz von Client-Zertifikaten zum Nachweis der Authentizität bei geschlossenem Nutzerkreis.
  • Prüfung von Veränderungen durch
    • Protokollierung der Änderungen an Daten, Anwendungen und IT-Systemen für Benutzer und Administratoren.
    • Sicherung von Protokolldaten gegen Verlust und Veränderung.
    • Plausibilitätskontrollen.
    • Erfassung gescheiterter Zugriffsversuche.
  • Konzept zur Nutzung von Verschlüsselungsmethoden, wie z.B.
    • Hash-Verfahren (SHA-256, SHA-512).
    • Passwortspeicherungen (SHA256, bcrypt, scrypt, PBKDF2).
    • Symmetrische Verschlüsselung (B.AES-256 mit CBC/GCM Modus).
    • Asymmetrische Verschlüsselung (RSA-2048 Bit oder höher, EC-256 Bit (oder höher).
    • Schlüsselverwaltung (Generierung, Ausgabe, Sperrung).
    • Schutz von geheimen Schlüsseln durch starke Passwörter mit mindestens 16 Stellen.
    • Einsatz von SSL-Zertifikaten bei vertrauenswürdigen Zertifizierungsstellen.
    • Einsatz von HTTPS (mind. 2048-Bit RSA, Perfect Forward Secrecy, HSTS, ggf. Client Zertifikate).
    • Verbot von kryptographischen Verfahren mit bekannten Schwachstellen.
    • Einsatz lokaler Passwort-Safes zur Verwaltung der Passwörter.

4. Verfügbarkeit

Informationen sind gegen zufällige Zerstörung oder Verlust zu schützen. Die Verarbeitung der Daten soll tolerant gegenüber Störungen und Fehlern sein, wiederherstellbar und robust sein:

  • Backup- und Versionierungskonzept zur automatisierten regelmäßigen Datensicherung
    • Berücksichtigung der Rahmenbedingungen, wie z.B. Speicher- und Änderungsvolumen, Änderungszeitpunkten, Verfügbarkeitsanforderungen und rechtlicher Anforderungen.
    • Verfahren zur Datensicherung bzgl. Art, Häufigkeit und Zeitpunkte der Datensicherung, Speichermedien, Aufbewahrungsmethoden und Verschlüsselung.
    • Festlegung von Verantwortlichkeiten sowie Planung und regelmäßige Kontrolle der Datensicherung.
    • Vertragliche Vereinbarung mit externen IT-Dienstleistern zu festgelegten Dienstleistungen.
  • Einsatz von geografisch verteilten und zertifizierten Rechenzentren gem. ISO 27001 und weiteren Standards mit diversen Maßnahmen zur Sicherstellung der Verfügbarkeit der Daten, wie z.B. Zugangskontrollen, Perimeterabsicherung, Gebäudesicherung und Hardwareschutz.
  • Konzept zum Notfallmanagement
    • Notfallplan für wahrscheinliche Risiken, wie z.B. Instandsetzungsreihenfolge, interne und externe Personen und Ablauf der Notfallbewältigung.
    • Regelmäßig Überprüfung, z.B. durch Tests und Notfallübungen.
    • Vorhandensein eines schriftlich fixiertes Backup-Konzepts einschl. regelmäßiger Prüfung auf Vollständigkeit und Funktionstüchtigkeit.
    • Geeignete physische Aufbewahrung von Backupmedien (z.B. Tresor, unterschiedliche Brandabschnitte, Gefahr von Wasserschäden, …) .
    • Weitestgehender Verzicht auf Makros in Office-Dokumenten im Betriebsalltag zum Schutz vor Ransomware.
    • Redundante Speicherung des Notfallplanes außerhalb der operativen Umgebung.
  • Präventive Maßnahmen, wie z.B.
    • Zulassen ausschließlich signierter Microsoft Office-Makros oder (re-gelmäßige) Information, bspw. einmal pro Jahr, der Beschäftigten über Risiken einer Makro-Aktivierung (z.B. in Microsoft Word).
    • Verhinderung einer automatischen Ausführung von heruntergeladenen Programmen (z.B. Software Restriction Policy und Sandboxing).
    • Deaktivierung von Windows Script Hosts (WSH) auf Clients.

5. Awareness der Mitarbeiter

Schutz von Informationen durch regelmäßig geschultes Personal in der Informationssicherheit und im Datenschutz:

  • Das gesamte Personal der Organisation erhält eine angemessene Schulung für Informationssicherheit und Datenschutz, soweit dies für die jeweilige Funktion relevant ist.
  • Schulungen im Bereich Datenschutz und Informationen werden für neue Benutzer werden im Rahmen der Einarbeitung vor Aufnahme des Beschäftigungsverhältnisses durchgeführt.
  • Regelmäßige Auffrischungsschulungen für bestehendes Personal erfolgt einmal pro Jahr.
  • Regelmäßige Informationen im Betrieb an alle Beschäftigten per E-Mail und Intranet über z.B.
    • Neuigkeiten zum Datenschutz und der IT-Sicherheit
    • Aktuelle Gefährdungen und notwendige Maßnahmen zur Abwehr
    • Veränderungen im Bereich Informationssicherheit im Unternehmen
  • Relevante Richtlinien, z.B. zur E-Mail-/Internetnutzung, Umgang mit Schadcodemeldungen, Einsatz von Verschlüsselungstechniken, werden aktuell gehalten und sind leicht im Intranet auffindbar.
  • Sämtliche Vorgaben zum Datenschutz und zur Informationssicherheit sind zugänglich für alle betroffenen Mitarbeiter.
  • Schulungsinhalte
    • Grundlagen Datenschutz und Umsetzung im Unternehmen
    • Erkennung und Reaktion bei Sicherheitsverletzungen
    • Erkennung und Abwehr von Cyberangriffen mittels Social-Engineering-Methoden
    • Erkennung und Abwehr von Gefahren bei der Nutzung von E-Mail (z.B. Absenderadressen, Auffälligkeiten, eingebettete Links) und Internet
    • Verhalten bei Virenbefall und sonstigen Sicherheitsverletzungen und Schutz bzw. Verlust von Endgeräten
    • Sensibilisierung des Personals in der Zusammenarbeit mit Externen Geschäftspartnern, wie z.B. Kunden und Dienstleister, wie z.B. Weitergabe von Informationen oder Einsatz von eigener Hardware in fremden Netzen
    • Sichere Nutzung von Hard- und Software bei mobilen Arbeitsplätzen und im Homeoffice

6.1. Ressourcen – Auswahl & Entwicklung

  • Sorgfältiger Einstellungsprozess von neuen Beschäftigten.
  • Relevante Beschäftigte werden geschult, dass
    • Security-by-Design (Sicherstellung der Vertraulichkeit, Verfügbarkeit und Integrität) als Teilmenge von Data-Protection-By-Design eine gesetzliche Datenschutzanforderung ist und
    • Einfluss auf zentrale Designentscheidungen (Produktauswahl, zentral vs. dezentral, Pseudonymisierung, Verschlüsselung, Land eines Dienstleisters) hat.
  • Trennung von Produktivsystem zu Entwicklungs-/Testsystem, sofern die Speicherung von Daten nicht beim Mandanten erfolgt.
  • Beschränkung des Zugangs zum Source-Code bei der Softwareentwicklung.
  • Anweisung, keine personenbezogenen Daten oder Zugangsdaten in der Source-Code-Verwaltung abzulegen.
  • System- und Sicherheitstests, wie z.B. Code-Scan und Penetrationstests.
  • Berücksichtigung von ausreichenden Testzyklen .
  • Fortlaufende Inventarisierung der Versionen von Software oder Komponenten (z.B. Frameworks, Bibliotheken) sowie deren Abhängigkeiten.
  • Standardsoftware und entsprechende Updates werden nur aus vertrauenswürdigen Quellen bezogen.
  • Sicherstellung, dass ein fortlaufender Plan zur Überwachung, Bewertung und Anwendung von Updates oder Konfigurationsänderungen für die gesamte Lebenszeit einer Softwareanwendung besteht.

6.2. Ressourcen – Eingesetzte Clients

  • Regelmäßige, automatisierte Inventur der eingesetzten Geräte.
  • Sperren der Clients nach einer geringen Zeit der Inaktivität bei erneuter Geräteentsperrung.
  • Einsatz von Blickschutzfolien für mobile Einsatzgeräte.
  • Einsatz einer Firewall, die unerwünschte Servicedienste auf dem Endgerät blockiert.
  • Verwendung einer Anti-Viren-Lösung mit tagesaktuellen Signatur-Updates und Regelungen im Umgang mit Warnmeldungen.
  • Zentrale Erfassung von Schadcode-Alarmmeldungen durch die IT-Administration, Ablaufplan der IT-Administration bei Schadcode-Befall.
  • Verwendung von aktuellen Software-Produkten und Betriebssystem mit einem regelmäßigen Patch Management.
  • Regelmäßige Auswertung von Informationen zu Sicherheitslücken der eingesetzten Software wie Betriebssysteme, Office-Software und Fachanwendungen (z.B. durch E-Mail-Newsletter, Herstellerveröffentlichungen, Fachmedien, Sicherheitswarnungen).
  • Automatisches Einspielen von Sicherheitsupdates des Betriebssystems, der installierten Software (z.B. PDF-Reader) oder von Softwarebibliotheken (z.B. Java), sofern möglich.
  • Speicherung von Daten ausschließlich auf regelmäßig gesicherten zentralen Medien.
  • Vorgaben zur minimalen Verwendung externer, verschlüsselter Geräte (z.B. bei USB-Sticks, Smartphones, externe Festplatten).
  • Deaktivierung von Auto-Start von externen Medien (z.B. USB-Sticks).
  • Fernwartung für Clients zu IT-Administrationszwecken ausschließlich über verschlüsselte Verbindungen nach Authentifizierung durch den Administrator und Freigabe durch den Nutzer.
  • Verhinderung der Ausführung von heruntergeladener Software aus unsicheren Quellen.
  • Zentrale Blockade unsicherer Webseiten (Blacklisting) .
  • Verhinderung der automatischen Ausführung von Programmen aus dem temporären Download-Verzeichnis des Internetbrowsers.
  • Prozess zur wirksamen Datenlöschung bei Ausgabe und Rücknahme von Endgeräten.
  • Konzept zum sicheren Einsatz und der Entsorgung von Multifunktionsgeräten.

6.3. Ressourcen – Mobile Datenspeicher

  • Einsatz starker Verschlüsselung der mobilen Endgeräte (z.B. Festplattenverschlüsselung.
  • Einsatz von Backup- und Synchronisierungsmechanismen zur Verhinderung eines größeren Datenverlusts bei Verlust und Diebstahl.
  • Mobile Device Management-Lösung, Reduktion des Funktionsumfanges der Smartphones auf ein Minimum, wie z.B. Privacy-by-default, Einsatz von Cloud-Lösungen oder Spracherkennung, Vorgaben für die Verwendung sicherer Installationsquellen).

6.4. Ressourcen – Serversysteme

  • Nur kompetent geschulte Personen dürfen Administrationstätigkeiten auf den Servern durchführen.
  • Einsatz verschiedene Administrationsrollen mit Rechten nach dem Least-Privileg-Prinzip für unterschiedliche Administrationsaufgaben (z.B. Soft-wareupdates, Konfiguration, Backup).
  • Geregelter Prozess zum zeitnahen Einspielen von Sicherheitsupdates der Server. Kritische Updates werden unverzüglich eingespielt.
  • Verwendung von eigenen Administrations-Endgeräten (über dezidierte Netzwerkverbindung).
  • Einsatz von Verfahren zur Zwei-Faktor-Authentifizierung bei Anwendungen, die dies insbesondere für Administratoren unterstützen.
  • Deaktivierung / Deinstallation von Standard Server-Diensten, die nicht benötigt werden (z.B. Webserver, Printserver).
  • Blockade serverlokale Dienste über Firewall auf Servern vor Außenzugriff
  • Einsatz diverser Härtungsmaßnahmen für das eingesetzte Serverbetriebssystem prüfen
  • Deaktivierung von Telemetriedaten an Hersteller, sofern nicht erforderlich.

6.5. Ressourcen – Websites & Webanwendungen

  • Verwendung des HTTPS-Protokolls nach Stand der Technik (TLS1.2 oder TLS1.3).
  • Absicherung von Datenbanken auf dem Webserver mittels Firewalls.
  • Fernzugang zu Webservern nur mit verschlüsselter Verbindung und Zwei-Faktor-Authentifizierung (z.B. SSH mit Client-Zertifikaten).
  • Limitierung von Administrationsbereichen der Webanwendungen auf bestimmte IP-Adressen (z.B. Unternehmens-Gateway).
  • Einsatz fachkundiger Administratoren auf den Servern.
  • Geregelter Prozess zur Information über Sicherheitsupdates und zeitnahes Einspielen.
  • Regelmäßige Durchführung von Sicherheitstests auf Webanwendungen.
  • Keine Übertragung personenbezogener Daten (z.B. E-Mail-Adresse) per HTTP-GET-Request, da diese in den Webserver-Log-Dateien gespeichert werden und durch eingesetzte Website-Tracker ausgeleitet werden können.
  • Trennung von Webserver, Anwendungslogik und Datenhaltung einer Webanwendung durch eigene Server, die in eine geeignete Firewall-Architektur (z.B. DMZ –Demilitarisierte Zone) eingebunden sind.

6.6. Ressourcen – Netzwerk

  • Einsatz einer Firewall am zentralen Internetübergang, Blockade aller nicht benötigten Dienste (z.B. VoIP, Peer-to-Peer, Telnet).
  • Einsatz eines Web-Proxies für sämtliche HTTP(S)-Verbindungen.
  • Protokollierung und Blockierung von IOCs (Indicators of Compromise, meist URL und IP-Hashes).
  • Regelmäßige Aktualisierung der IOCs aus geeigneten Quellen.
  • Einsatz geeigneter Firewall-Architekturen zur Absicherung rein interner Systeme (z.B. Arbeitsplatz, Drucker) zu den über das Internet erreichbaren Servern (z.B. E-Mail-Server, Web-Server, VPN-Endpunkt).
  • Einsatz von Funkzugängen per WLAN nur auf aktuellen WLAN-Routern mit wirksamen Zugangsmechanismen (z.B. WPA-2 mit mind. 24-stelligem Passwort, WP3-Enterprise oder Einsatz eines Radius-Servers).
  • WLAN-Gastzugang ohne Zugangsmöglichkeit zum internen Netzwerk.
  • Geregelter Prozess zur ordnungsmäßigen Konfiguration und Überprüfung der Firewalls (z.B. zu der Notwendigkeit von Freigaben).
  • Protokollierungen auf Firewall-Ebene, um auch unbefugte Zugriffe zwischen den Netzen festzustellen und zu analysieren.
  • Automatische Benachrichtigungen an die IT-Administration bei Verdacht auf unbefugte Verarbeitungen.
  • Regelmäßige Überprüfung der ordnungsgemäßen Konfiguration der Firewall (z.B. mittels Portscans auf die eigenen IP-Adressen von extern und periodischer Pentests).
  • Prüfung eingehender E-Mails mittels Anti-Malwareschutz.
  • Blockade gefährlicher Email-Anhänge und unverschlüsselter Protokolle Einsatz von Intrusion-Detection-Systemen (IDS) oder Intrusion-Prevention-Systemen (IPS).
  • Anbindung von Niederlassungen oder Homeoffice über stark verschlüsselte VPN-Verbindungen mit Client-Zertifikatsauthentifizierung.

6.7. Ressourcen – Archivierung

  • Festlegung von Aufbewahrungsfristen pro Verarbeitungstätigkeit.
  • Keine Archivierung auf Datenträgern, die für eine lange Speicherdauer ungeeignet sind (z.B. wiederbeschreibbare DVDs).
  • Verschlüsselung von Archivdateien mit geeignetem Schlüsselmanagement: Aufbewahrung von Entschlüsselungsschlüssel an mind. zwei (örtlich) getrennten Stellen.
  • Auswahl geeigneter Datenformate zur langfristigen Lesbarkeit der Daten

6.8. Ressourcen – Dienstleister

  • Aufzeichnung aller Tätigkeiten von externen Dienstleistern.
  • Unterzeichnung von Verschwiegenheitsverpflichtungen in den Dienstleistungsverträgen.
  • Festlegung interner Mitarbeiter zur Überwachung, Steigerung und Dokumentation der Tätigkeiten des externen Dienstleisters.
  • Regelungen zur wirksamen Datenlöschung auf Hardware (z.B. PCs, Drucker, Smartphones), die vom Dienstleister oder Hersteller zurückgenommen werden (z.B. bei Defekten, Abschreibung).
  • Regelmäßiges Patchmanagement bei Fernwartungssoftware.
  • Protokollierung von Fernwartungen externer Dienstleister.
  • Begrenzung des Systemzugriffes bei Wartungstätigkeiten unter Beobachtung.
  • Prüfung externer Auftragsverarbeiter auf Eignung gemäß Schutzbedarf der Informationen.
  • Prüfung von Auftragsverarbeitungsvereinbarungen auf Vollständigkeit und Ausgewogenheit.
  • Schutz von Informationen durch Dokumentation der Verarbeitungstätigkeiten, sicherheitsrelevanten Maßnahmen und Prüfungen.

7. Dokumentation

Schutz von Informationen durch regelmäßige Dokumentation:

  • der Verarbeitungstätigkeiten gem. Art. 30 DSGVO als Verantwortlicher und Auftragsverarbeiter
  • der Risiken pro Verarbeitungstätigkeit, Prüfung auf Notwendigkeit und ggf. Erstellung einer Datenschutzfolgenabschätzung
  • der Löschkonzepte pro Verarbeitungstätigkeit und Nachweis der durchgeführten Löschungen
  • etablierter technischer und organisatorischer Maßnahmen
  • von Erlaubnistatbeständen, wie z.B. Einwilligungen, Verträgen, Formularen, Informationspflichten und Interessenabwägungen
  • eingesetzter Hard- und Softwarekomponenten
  • durchgeführter Schulungsmaßnahmen
  • der in Anspruch genommenen Betroffenenbegehren und -rechte gem. Art. 15ff/33f DSGVO
  • der Tätigkeiten des ISB / DSB
  • eingesetzter Auftragsverarbeiter, Prüfberichte der Vereinbarungen und Priorisierung für die Informationssicherheit
  • der Aufträge und Anweisungen für Kundenprojekte
  • der Bestellung und Einbindung des ISB/DSB und Nachweise der Fachkunde

8. Wirksamkeit und Protokollierung

Schutz von Informationen durch regelmäßige Protokollierung, Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Sicherheitsmaßnahmen:

  • Konzept zur regelmäßigen Überprüfung und ggf. Optimierung der
    • Leit- und Richtlinie im Umgang mit Informationen.
    • Verarbeitungstätigkeiten durch den Informationssicherheits- und Datenschutzbeauftragten.
    • etablierten technischen und organisatorischen Maßnahmen.
    • etablierten Schulungsmaßnahmen für Beschäftigte.
    • eingesetzten Auftragsverarbeiter.
  • Abstimmung und Umsetzung eines Jahresprüfplanes.
  • Konzept zur Protokollierung von Benutzeraktivitäten, technischen Systemereignissen, Fehlerzuständen und Internetaktivitäten unter Berücksichtigung datenschutzrechtlicher Anforderungen (u. a. auch Beschäftigtendatenschutz).
  • Speicherung der Log-Dateien auf einem eigenen Log-Server.
  • Synchronisation der Uhren der verwendeten Informationsverarbeitungssysteme (PCs, Notebooks, etc.) mit geeigneten Zeitquellen, um eine gezielte Analyse bei Sicherheitsereignissen zu ermöglichen.
  • Einhaltung der Zweckbindung der Log-Dateien.
  • Regelmäßige anlasslose Auswertung der Log-Dateien zur Erkennung ungewöhnlicher Einträge.

Hamburg, den 11.01.2021