Sie befinden sich hier: / / Informationssicherheit

Informationssicherheit und Datenschutz

bei der PCS Beratungscontor AG.

Wir begleiten unsere Kunden in vielen Bereichen. Eine langwährende und intensive Zusammenarbeit zahlt sich für beide Seiten aus. Für diese Zusammenarbeit auf höchstem Niveau haben wir Einblick in personenbezogene und geschäftliche Informationen bei unseren Kunden.

Wir informieren Sie, wie Informationssicherheit und Datenschutz bei uns umgesetzt werden. Wir unterstützen Sie auch dabei, die rechtlichen Vorgaben im Bereich „Datenschutz“ einzuhalten.

Nach Art. 28 der Datenschutzgrundverordnung (DSGVO) sind Sie als Kunde verantwortlich, sich beim Auslagern der Datenverarbeitung zu überzeugen, dass der Auftragsverarbeiter angemessene und geeignete Maßnahmen zur Sicherheit der Verarbeitung getroffen hat.

I. Einleitung

Sicherheit steht an erster Stelle

Als IT-Unternehmen sind wir für diverse Kunden in unterschiedlichen Bereichen tätig. Dabei beraten wir mehrere Kunden mit einem sehr hohen Sicherheitsniveau. Informationssicherheit ist für uns eine Selbstverständlichkeit. Wir möchten Sie auf diesen Seiten über unsere Maßnahmen informieren, um auch Ihre Informationen zu schützen.

Umgang mit sensiblen Daten ist unser tägliches Geschäft. Ob unsere Beschäftigten direkt bei Ihnen vor Ort arbeiten, von unseren Büros oder nach Absprache von unterwegs bzw. aus dem Homeoffice heraus. Informationssicherheit ist in unserem Geschäft unverzichtbar.

Unser Personal weiß schon bei Unterzeichnung des Arbeitsvertrags: Wer mit vertraulichen personenbezogenen und geschäftlichen Daten arbeitet, trägt eine große Verantwortung. Hier setzen wir besonders hohe Standards an. Unsere Beschäftigten müssen die gesetzlichen Vorschriften und unsere internen Regeln zum Datenschutz kennen und umsetzen. Dafür sorgen wir durch regelmäßige Schulungen. Auch unsere Geschäftspartner müssen ihrer Fürsorgepflicht in Sachen Datenschutz nachkommen. Unsere Sicherheitsleitlinie formuliert weitreichende Ansprüche an uns selbst und unsere Partner.

II. Organisatorische Umsetzung

Sicherheit in der Organisation

Informationssicherheit und Datenschutz sind bei der PCS Beratungscontor AG eine ganzheitliche Aufgabe, die das Unternehmen auf allen Ebenen erfüllt. Der Informationssicherheitsbeauftragte und der externe Datenschutzbeauftragte sind organisatorisch im Unternehmen eingebunden und berichten direkt an den Vorstand.

Beide wirken darauf hin, dass die gesetzlichen Vorgaben der DSGVO und weiterer Gesetze eingehalten werden, die Informationssicherheit fachgerecht umgesetzt ist und sich ständig weiterentwickelt. Unterstützt werden diese von den Vertretern der Fachbereiche, die die Anforderung operativ umsetzen. Sie geben Hilfestellung, wenn es darum geht, die hohen Anforderungen an Schutz und Sicherung der verarbeiteten Daten in die Praxis umzusetzen.

Sensibilisieren, beraten, kontrollieren – das sind unsere Werte für die Umsetzung einer guten Informationssicherheit und der datenschutzrechtlichen Vorgaben. Dabei orientieren wir uns an den Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik.

III. Datenverarbeitung im Auftrag

Rechtliche Grundlagen

Der Gesetzgeber hat mit Art. 28 DSGVO Regeln geschaffen, die Sie verpflichten, nur geeignete Auftragsverarbeiter einzusetzen. Die Nichtbeachtung kann Bußgelder nach sich ziehen. Dabei bleibt der Kunde verantwortlich im Sinne der DSGVO.

Bei der Auswahl des Dienstleisters hat der Auftraggeber insbesondere die Eignung der getroffenen technischen und organisatorischen Maßnahmen zum Schutz der dem Auftragsverarbeiter überlassenen Daten zu prüfen. Zudem muss sich der Kunde vor Beginn der Datenverarbeitung und regelmäßig auch danach von der Einhaltung dieser Maßnahmen überzeugen und das Ergebnis dokumentieren.

Die PCS Beratungscontor AG hilft ihren Kunden dabei, sich detailliert zu informieren, ob die Informationssicherheit ihren eigenen Ansprüchen entspricht.

Die PCS Beratungscontor AG verpflichtet sich, ihr überlassene Informationen nur im Rahmen der Weisungen des Auftraggebers zu verarbeiten, sie durch angemessene Vorkehrungen vor Verlust, Manipulation und Missbrauch zu schützen und sie nicht an unbefugte Dritte weiterzugeben. Sämtliche Rechte und Pflichten werden in der Auftragsverarbeitungsvereinbarung zwischen dem Kunden und der PCS Beratungscontor AG geregelt und im Auftragsmanagement umgesetzt. Auf den folgenden Seiten werden die etablierten Maßnahmen zur Sicherheit detailliert beschrieben.

Sofern Unterauftragsverarbeiter eingesetzt werden, übernehmen diese die Verpflichtungen in Bezug auf Informationssicherheit und Datenschutz und werden von uns vorab auf Eignung geprüft. Bevor weitere Unterauftragsverarbeiter im Sinne des Art. 28 DSGVO eingesetzt werden, werden Sie darüber informiert. Sollten Sie keine Auftragsverarbeitungsvereinbarung vorrätig haben, wir haben bereits die Vereinbarung unterschriftsreif für Sie vorbereitet.

Vertraulichkeit

Alle Beschäftigten werden schon mit Eintritt auf die Vertraulichkeit im Umgang mit personenbezogenen und geschäftsrelevanten Informationen verpflichtet. Sofern eine besondere Verschwiegenheitspflicht besteht, wie zum Beispiel bei Daten, die dem Berufsgeheimnis unterliegen, wird eine gesonderte Vertraulichkeitserklärung geschlossen. Das heißt, Inhalte und Umstände von Kommunikationsvorgängen unserer Kunden bleiben geheim. Durch Schulungen und Informationsveranstaltungen sorgen wir dafür, dass das Personal mit den gesetzlichen Vorgaben vertraut ist. Regelmäßige Online-Schulungen und Seminare zum Thema Informationssicherheit sind selbstverständlich.

Da sich Vorschriften, Technik und organisatorische Rahmenbedingungen stetig ändern, haben wir einen kontinuierlichen Verbesserungsprozess etabliert, um unsere Maßnahmen für die Informationssicherheit stetig zu optimieren.

Unser Informationssicherheitskonzept umfasst bauliche, personelle, organisatorische und technische Vorkehrungen, um die Sicherheit der Informationen zu gewährleisten. Die technischen und organisatorischen Maßnahmen sollen unbefugte Datenzugriffe verhindern und einen ordnungsgemäßen Umgang mit Daten und Datenträgern sicherstellen. Die Wirksamkeit dieser Maßnahmen überprüfen wir durch unabhängige interne und externe Audits mit wechselnden Schwerpunkten. Die Ergebnisse dieser Überprüfungen bilden die Grundlage für gezielte Verbesserungsmaßnahmen.

Informationssicherheit

Im Folgenden geben wir einen Überblick über unsere Sicherheitsmaßnahmen nach Art. 32 DSGVO. Diese werden regelmäßig im Rahmen von Datenschutzprüfungen und IT-Sicherheitsaudits überprüft. Aus Sicherheitsgründen können wir die Sicherheitsmaßnahmen nicht im letzten Detail darstellen. Auch sind nicht unbedingt alle Maßnahmen für Sie relevant, wenn beispielsweise die gesamte Datenverarbeitung in Ihrem Unternehmen stattfindet. Auf den Folgeseiten erhalten Sie weiterführende Informationen.

IV. Einzelmaßnahmen

Die Einzelmaßnahmen in der Übersicht

1. Management & Organisation

Schutz von Informationen durch Einsatz bestehender interner und externer Kompetenzen zur Schaffung stabiler Sicherheitsstrukturen in der Organisation

2. Vertraulichkeit

Schutz der Informationen vor Unbefugten durch geeignete Maßnahmen der Gebäudesicherheit, Zutritten, Zugang und Zugriff auf Informationssysteme

3. Integrität

Schutz von Informationen vor unbeabsichtigter oder unbefugter Veränderung oder unrechtmäßigem oder fahrlässigem Handeln

4. Verfügbarkeit

Schutz von Informationen vor unrechtmäßigem oder fahrlässigem Handeln durch Nichtverfügbarkeit, Systemüberlastungen oder -abstürzen und physikalischen und technischen Zwischenfällen

5. Awareness

Schutz von Informationen durch regelmäßig geschultes Personal im Datenschutz und der Informationssicherheit

6. Auswahl, Entwicklung und Einsatz

Schutz von Informationen durch bewusste Auswahl und fachgerechten Einsatz geeigneter Clients, mobiler Datenspeicher, Serversysteme, Webseiten, Anwendungen, Netzwerk, Archivierung und externer Dienstleister

7. Dokumentation

Schutz von Informationen durch Dokumentation der Verarbeitungstätigkeiten, sicherheitsrelevante Maßnahmen und Prüfungen

8. Wirksamkeit & Protokollierung

Schutz von Informationen durch regelmäßige Protokollierung, Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Sicherheitsmaßnahmen

Die Einzelmaßnahmen im Detail dargestellt:

1. Management & Organisation

Schutz von Informationen durch Einsatz bestehender interner und externer Kompetenzen zur Schaffung stabiler Sicherheitsstrukturen in der Organisation:

  • Eine geeignete Organisationstruktur für Informationssicherheit ist vorhanden und die Informationssicherheit ist in die organisationsweiten Prozesse und Abläufe integriert
  • Kommunikation der Sicherheitsleit- und -richtlinie der Geschäftsleitung an alle Beschäftigten
  • Die Rollen der einzelnen Beschäftigten im Sicherheitsprozess sind eindeutig festgelegt
  • Regelmäßige Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen nach dem PDCA-Zyklus (Plan-Do-Check-Act)
  • Konzepte und Dokumentationen im Sicherheitsumfeld werden regelmäßig überprüft und aktuell gehalten
  • Einsatz eines geeigneten Informationssicherheitsmanagementsystems gem. Bundesamt für Informationssicherheit (BSI)
  • Die Rollen und Verantwortlichkeiten im Bereich der Sicherheit sind im eigenen Betrieb bekannt und besetzt (Informationssicherheitsbeauftragter (ISB), IT-Leiter und externer Datenschutzbeauftragter (DSB))
  • Konsequente Einbindung des ISBs und DSBs bei Sicherheitsfragen
  • Ausreichende fachliche Qualifikation des ISB und DSB für sicherheitsrelevante Fragestellungen und Möglichkeiten zur Fortbildung für dieses Thema
  • Durchführung von regelmäßigen Audits des ISB und DSB nach Art. 32 DSGVO zur Sicherheit der Verarbeitung
  • Kenntnis der zuständigen Datenschutzaufsichtsbehörde sowie Wissen über die Meldeverpflichtungen nach Art. 33 und 34 DSGVO (Verletzung der Sicherheit)
  • Konsequente Dokumentation bei Sicherheitsvorkommnissen (Security Reporting, Ereignis- und Aktivitätsjournal)
  • Aktive Unterstützung der Zusammenarbeit des DSB mit dem ISB durch die Unternehmensleitung
  • Erkenntnisse über (neue) digitale Bedrohungen werden gesammelt und potenzielle Auswirkungen auf den eigenen Betrieb abgeleitet
  • Festgelegte Prozesse zur Einbeziehung eines externen Unternehmens für Forensik und IT-Sicherheit bei Sicherheitsvorfällen
  • Mindestens jährliche Tätigkeitsberichte der Sicherheitsorganisation an den Vorstand mit Ableitung und Vorschlägen zu konkreten Optimierungsmaßnahmen
  • Einsatz von qualifiziertem Personal und Dienstleister mit Vertreterregelung für die Administration von IT-Systemen, wie beispielsweise Server, Datensicherung, Netzwerk, Clients oder Firewall

2.1. Vertraulichkeit – Zutrittskontrolle

Unbefugten ist der Zutritt zu den vom Auftragnehmer zwecks Erbringung der Verarbeitung genutzten technischen Einrichtungen zu verwehren:

  • Regelungen für Unternehmensfremde (Begleitung des Besuchers durch Personal, Trennung von Bearbeitungs- und Publikumszonen)
  • Festlegung befugter Personen inklusive Umfang der jeweiligen Befugnisse, Reduktion der zutrittsberechtigten Personen auf ein Minimum
  • Umsetzung einer Schlüsselregelung für manuelle und elektronische Zutrittsmittel für den Zutritt in die Büros
  • Dokumentation der Vergabe und Rücknahme von Schlüsseln inkl. Verhalten bei Verlust durch zum Beispiel Diebstahl
  • Verwendung neutraler elektronischer Schlüssel (Token)
  • Unterschiedliche Zutrittsberechtigungen je nach Aufgabengebiet
  • Zeitliche Restriktionen an werkfreien Tagen
  • Sofortiger Entzug der Zutrittsmöglichkeit bei Verlust oder Austritt aus dem Unternehmen durch Sperrung der elektronischen Schlüssel, bzw. durch Austausch der Sicherheitsschlösser
  • Umsetzung eines Konzeptes für mobiles Arbeiten, wie zum Beispiel Einsatz von Schlössern bei Laptops und organisatorische Anweisungen
  • Mechanische Sicherungen an der Eingangstür, wie zum Beispiel Sicherheitsschlösser, Sicherheitsglas, Außenknauf und automatischer Türschließer
  • Stabile und einbruchshemmende Fenster, Türen und Zylinder im 1. Stock eines Bürokomplexes
  • Zentraler Empfangsbereich, Sichtkontakt vor Gewährung des Zutritts / Gegensprechanlage
  • Separates Schließsystem für Netzwerk- und Verteilerschränke
  • Abschließbare Schränke für sensible Aktenordner und organisatorische Anweisungen bzgl. Clean-Desk-Policy inkl. regelmäßiger Kontrolle
  • Gerätesicherungen vorhandener IT-Infrastruktur gegen Diebstahl, Manipulation oder Beschädigung einschl. organisatorische Regelungen zur Mitnahme mobiler Geräte, das heißt, Einschluss in abschließbare Schränke nach längerer Abwesenheit
  • Reinigungsmanagement
  • Vertraulichkeitsvereinbarung mit den Dienstleistern einschl. Regelungen zur Dienstleistung, zu den Zutrittsberechtigten und Zeiträume einschl. regelmäßiger Kontrolle des Dienstleisters
  • Konzept für Besprechungsräume mit folgenden Inhalten
    • Administration vorhandener Gerätschaften
    • Regelungen zur Verwendung mitgebrachter IT-Systeme (Netzzugänge und TK-Schnittstelle)
    • Schließregelungen für Türen und Fenster
    • Verkabelungs- Netzwerk- und Stromkonzept (separates Netzwerk)
    • Prozess zur Besucherregelung und Begleitpflicht für betriebsfremdes Personal

2.2. Vertraulichkeit – Zugangskontrolle

Das Eindringen Unbefugter in die DV-Systeme und die unbefugte Systemnutzung wird durch folgende Maßnahmen verhindert:

  • Übergreifendes Rollen- und Berechtigungskonzept für Endgeräte und Hard- und Software für interne und externe Beschäftigte
  • System zur Verwaltung von Benutzeridentitäten
  • Einweisung aller Beschäftigten in den Umgang mit Authentifizierungsverfahren und -mechanismen
  • Geregelter Prozess zur zentralen Verwaltung von Benutzeridentitäten, insbesondere
    • bei Zuweisung (neues Personal)
    • Änderungen (Abteilungs- oder Namenswechsel nach Heirat)
    • Entzug (bei Austritt Personal)
    • ungeplanter längerer Abwesenheit
  • Vergabe von eindeutigen Kennungen für jeden Nutzer, Vermeidung von Gruppenkennungen
  • Einsatz administrativer Rollen (Anlage neuer Benutzer, Durchführung von Backups, Konfiguration der Firewall) für die IT-Administration
  • Aufgaben Trennung von Administrations- und normalen Nutzerkennungen bei der Internetnutzung, E-Mail-Kommunikation und IT-Systemkonfiguration
  • Sperrung der externen USB-Schnittstelle, wo nicht zwingend erforderlich
  • Einsatz spezieller Sicherheitssoftware (Anti-Malware, Viren-Scanner, Soft- und Hardware-Firewall)
  • Absicherung der Endgeräte, Konten, Cloud-Apps und Microsoft 365 mit der Microsoft Defender Suite
  • Sichere (verschlüsselte) Authentisierungsverfahren entsprechend dem Schutzbedarf der Informationen
  • Erzwingen von starken Passwörtern und Veröffentlichung von Richtlinien zum Umgang mit Identitäten und Endgeräten mit unterschiedlichen Anforderungen an Passwortlänge, Komplexität und Zweifaktorauthentifizierung
  • Einsatz und Regelungen von Passwortsafes zur Administration geräte- und kundenbezogener Passwörter
  • Monitoring der Zugangsversuche mit Reaktion auf Sicherheitsvorfälle (Zero-Trust-Ansatz / Bedingter Zugriff), automatische Sperrung von Accounts und Neuvergabe bei einer hohen Anzahl von Fehlversuchen, Verdachtsfällen oder nach Sicherheitsvorfällen
  • Bei erstmaligem Login eines neuen Nutzers oder Zurücksetzung des Passworts durch IT (zum Beispiel bei Vergessen des Passworts) muss eine Passwortänderung durch den Benutzer erfolgen

2.3. Vertraulichkeit – Zugriffskontrolle

Nutzer sollen nur auf die personenbezogenen Daten zugreifen können, die für ihre Tätigkeit erforderlich sind. Durch Einführung von Benutzerrechten zu bestimmten Rollen, wie zum Beispiel bei der Buchhaltung oder IT-Administration, werden unterschiedliche Rechte an konkrete Personen zugewiesen:

  • Erstellen von Rollenprofilen für die Nutzer von IT-Systemen unter Einbindung der jeweiligen Aufgabenbereiche
  • Zugriffsbeschränkungen (gemäß „Need-to-Know“ und „Least Privilege“) für Aufgaben der Benutzer (funktional und zeitlich)
  • Konzepte für Regelungen zur Zugriffs- und Benutzerberechtigung pro Anwendung
  • Regelungen zur Verwaltung der Rollen (Zuweisung, Änderung und Entzug)
  • Regelmäßige Überprüfung der Berechtigungen (mindestens einmal pro Jahr), ob Berechtigungszuweisungen noch erforderlich und konzeptionell noch den Anforderungen entsprechen
  • Keine Administratorkennung für Nutzer, die keine Administrationsfunktion ausführen, zeitlich begrenzte Zuordnung von Administrationsberechtigungen im Bedarfsfall (PIM auf Gesamtsystemebene, EPM für Benutzer)
  • Verschlüsselte Speicherung der Daten auf Datenträgerebene, auch für externe Datenträger
  • Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten, sofern anwendungsseitig realisierbar
  • Protokollierung von unberechtigten Zugriffsversuchen einschl. Echtzeitauswertung und Alarmierung, einschl. bei Schnittstellen und technischen Benutzern
  • Umsetzung von Regelungen zur Löschung von Daten pro Fachbereich, einschl. der Entsorgung von analogen und digitalen Speichermedien (Einsatz von Aktenvernichtern bzw. Dienstleistern gem. DIN 66933)

3. Integrität

Schutz von Informationen vor unbeabsichtigter oder unbefugter Veränderung oder unrechtmäßigem oder fahrlässigen Handeln durch Trennung von Daten, die zu unterschiedlichen Zwecken verarbeitet worden sind, sichere Übermittlung und Speicherung von Daten und zur nachträglichen Prüfung von Veränderungen:

  • Trennung von Datenbeständen zur Vermeidung einer Zweckentfremdung durch logische Mandantentrennung (softwareseitig)
  • Eine Festlegung von rollen- und benutzerspezifischen Datenbankrechten
  • Kontrolle unbefugter Weitergabe durch Regeln zum Datentransfer für alle Beschäftigten innerhalb und außerhalb des Unternehmens
  • Verschlüsselung von mobilen Datenträgern (DVD, USB-Sticks, Festplatte mit Bitlocker bzw. AES 256 Bit-Verschlüsselung)
  • Transportverschlüsselung für E-Mail und Datentransfer
  • Einsatz von digitalen Signaturen bei hohem Schutzbedarf
  • Einsatz von Client-Zertifikaten zum Nachweis der Authentizität bei geschlossenem Nutzerkreis bei ausgewählten Anwendungen
  • Prüfung von Veränderungen durch zum Beispiel
    • Protokollierung der Änderungen an Daten, Anwendungen und IT-Systemen für Benutzer und Administratoren
    • Sicherung von Protokolldaten gegen Verlust und Veränderung
    • Plausibilitätskontrollen
    • Erfassung gescheiterter Zugriffsversuche
  • Einsatz von Verschlüsselungsmethoden je nach Anwendung, wie zum Beispiel
    • Hash-Verfahren (SHA-256, SHA-512)
    • Passwortspeicherungen (SHA256, bcrypt, scrypt, PBKDF2)
    • Symmetrische Verschlüsselung (BAES-256 mit CBC/GCM Modus)
    • Asymmetrische Verschlüsselung (RSA-2048 Bit oder höher, EC-256 Bit (oder höher)
    • Schlüsselverwaltung (Generierung, Ausgabe, Sperrung)
    • Schutz von geheimen Schlüsseln durch starke Passwörter mit mindestens 16 Stellen
    • Einsatz von SSL-Zertifikaten bei vertrauenswürdigen Zertifizierungsstellen
    • Einsatz von HTTPS (mind. 2048-Bit RSA, Perfect Forward Secrecy, HSTS, ggf. Client Zertifikate)
    • Verbot von kryptographischen Verfahren mit bekannten Schwachstellen
    • Einsatz lokaler Passwort-Safes zur Verwaltung der Passwörter

4. Verfügbarkeit

Informationen sind gegen zufällige Zerstörung oder Verlust zu schützen. Die Verarbeitung der Daten soll tolerant gegenüber Störungen und Fehlern sein, wiederherstellbar und robust sein:

  • Backup-Konzept einschl. regelmäßiger Prüfung auf Vollständigkeit und Funktionstüchtigkeit
  • Berücksichtigung der Rahmenbedingungen, wie zum Beispiel Speicher- und Änderungsvolumen, Änderungszeitpunkte, Verfügbarkeitsanforderungen und rechtliche Anforderungen
  • Verfahren zur Datensicherung bzgl. Art, Häufigkeit und Zeitpunkte der Datensicherung, Speichermedien, Aufbewahrungsmethoden und Verschlüsselung
  • Geeignete physische Aufbewahrung von Backupmedien, wie zum Beispiel Tresor, unterschiedliche Brandabschnitte oder Gefahr von Wasserschäden
  • Festlegung von Verantwortlichkeiten sowie Planung und regelmäßige Kontrolle der Datensicherung
  • Vertragliche Vereinbarung mit externen IT-Dienstleistern zu festgelegten Dienstleistungen
  • Einsatz von geografisch verteilten und zertifizierten Rechenzentren gem. ISO 27001 und weiteren Standards mit diversen Maßnahmen zur Sicherstellung der Verfügbarkeit der Daten, wie zum Beispiel Zugangskontrollen, Gebäudesicherung und Hardwareschutz
  • Notfallplan für wahrscheinliche Risiken, wie zum Beispiel Instandsetzungsreihenfolge, interne und externe Personen und Ablauf der Notfallbewältigung
  • Regelmäßig Überprüfung, zum Beispiel durch Tests und Notfallübungen
  • Redundante Speicherung des Notfallplanes außerhalb der operativen Umgebung
  • Präventive Maßnahmen, wie zum Beispiel
    • Weitestgehender Verzicht auf Makros in Office-Dokumenten im Betriebsalltag zum Schutz vor Ransomware
    • Zulassen ausschließlich signierter Microsoft Office-Makros oder (regelmäßige) Information, bspw. einmal pro Jahr, der Beschäftigten über Risiken einer Makro-Aktivierung (zum Beispiel in Microsoft Word)
    • Verhinderung einer automatischen Ausführung von heruntergeladenen Programmen (zum Beispiel Software Restriction Policy und Sandboxing)
    • Deaktivierung von Windows Script Hosts (WSH) auf Clients

5. Awareness

Schutz von Informationen durch regelmäßig geschultes Personal in der Informationssicherheit und im Datenschutz:

  • Das gesamte Personal der Organisation erhält eine angemessene Schulung für Informationssicherheit und Datenschutz, soweit dies für die jeweilige Funktion relevant ist
  • Schulungen im Bereich Datenschutz und Informationen werden für neue Benutzer werden im Rahmen der Einarbeitung vor Aufnahme des Beschäftigungsverhältnisses durchgeführt
  • Regelmäßige Auffrischungsschulungen für bestehendes Personal erfolgt einmal pro Jahr
  • Anlassbezogene Informationen im Betrieb an alle Beschäftigten per E-Mail und Intranet über zum Beispiel Neuigkeiten zum Datenschutz und der IT-Sicherheit, z. B. zu aktuellen Gefährdungen und notwendige Maßnahmen zur Abwehr oder Veränderungen im Bereich Informationssicherheit im Unternehmen
  • Diverse Richtlinien, wie zum Beispiel zur E-Mail-/Internetnutzung, Umgang mit Schadcodemeldungen oder den Einsatz von Verschlüsselungstechniken, werden aktuell gehalten und sind leicht im Intranet auffindbar
  • Sämtliche Vorgaben zum Datenschutz und zur Informationssicherheit sind zugänglich für alle betroffenen Beschäftigten
  • Schulungsinhalte
    • Grundlagen Datenschutz und Umsetzung im Unternehmen
    • Erkennung und Reaktion bei Sicherheitsverletzungen
    • Erkennung und Abwehr von Cyberangriffen mittels Social-Engineering-Methoden
    • Erkennung und Abwehr von Gefahren bei der Nutzung von E-Mail (zum Beispiel Absenderadressen, Auffälligkeiten, eingebettete Links) und Internet
    • Verhalten bei Virenbefall und sonstigen Sicherheitsverletzungen und Schutz bzw. Verlust von Endgeräten
    • Sensibilisierung des Personals in der Zusammenarbeit mit externen Geschäftspartnern, wie zum Beispiel Kunden und Dienstleister (Weitergabe von Informationen oder Einsatz von eigener Hardware in fremden Netzen)
    • Sichere Nutzung von Hard- und Software bei mobilen Arbeitsplätzen und im Homeoffice

6. Auswahl/Einsatz von Ressourcen

6.1. Ressourcen – Auswahl & Entwicklung

  • Sorgfältiger Einstellungsprozess von neuen Beschäftigten
  • Umsetzung eines Schulungskonzeptes für verschiedene Themengebiete einschl. Datenschutz und Informationssicherheit
  • Trennung von Produktivsystemen zu Entwicklungs-/Testsystem, sofern die Speicherung von Daten nicht beim Kunden erfolgt
  • Beschränkung des Zugangs zum Source-Code bei der Softwareentwicklung
  • Anweisung, keine personenbezogenen Daten oder Zugangsdaten in der Source-Code-Verwaltung abzulegen
  • System- und Sicherheitstests, wie zum Beispiel Code-Scan und Penetrationstests
  • Berücksichtigung von ausreichenden Testzyklen
  • Fortlaufende Inventarisierung der Versionen von Software oder Komponenten (zum Beispiel Frameworks, Bibliotheken) sowie deren Abhängigkeiten
  • Standardsoftware und entsprechende Updates werden nur aus vertrauenswürdigen Quellen bezogen
  • Sicherstellung, dass ein fortlaufender Plan zur Überwachung, Bewertung und Anwendung von Updates oder Konfigurationsänderungen für die gesamte Lebenszeit einer Softwareanwendung besteht

6.2. Ressourcen – Eingesetzte Clients

  • Regelmäßige, automatisierte Inventur der eingesetzten Geräte
  • Sperren der Clients nach einer geringen Zeit der Inaktivität bei erneuter Geräteentsperrung
  • Einsatz von Blickschutzfolien für mobile Einsatzgeräte
  • Einsatz einer Firewall, die unerwünschte Servicedienste auf dem Endgerät blockiert
  • Verwendung einer Anti-Viren-Lösung mit tagesaktuellen Signatur-Updates und Regelungen im Umgang mit Warnmeldungen
  • Zentrale Erfassung von Schadcode-Alarmmeldungen durch die IT-Administration, Ablaufplan der IT-Administration bei Schadcode-Befall
  • Verwendung von aktuellen Software-Produkten und Betriebssystem mit einem regelmäßigen Patch Management
  • Kontinuierliche Auswertung von Informationen zu Sicherheitslücken der eingesetzten Software wie Betriebssysteme, Office-Software und Fachanwendungen (zum Beispiel durch E-Mail-Newsletter, Herstellerveröffentlichungen, Fachmedien, Sicherheitswarnungen)
  • Automatisches Einspielen von Sicherheitsupdates des Betriebssystems der installierten Software (zum Beispiel PDF-Reader) oder von Softwarebibliotheken (zum Beispiel Java), sofern möglich
  • Speicherung von Daten ausschließlich auf regelmäßig gesicherten zentralen Medien
  • Deaktivierung von Auto-Start von externen Medien
  • Fernwartung für Clients zu IT-Administrationszwecken ausschließlich über verschlüsselte Verbindungen nach Authentifizierung durch den Administrator und Freigabe durch den Nutzer
  • Verhinderung der Ausführung von heruntergeladener Software aus unsicheren Quellen
  • Zentrale Blockade unsicherer Webseiten (Microsoft Defender Suite
  • Verhinderung der automatischen Ausführung von Programmen aus dem temporären Download-Verzeichnis des Internetbrowsers
  • Prozess zur wirksamen Datenlöschung bei Ausgabe und Rücknahme von Endgeräten
  • Konzept zum sicheren Einsatz und der Entsorgung von Multifunktionsgeräten

6.3. Ressourcen – Mobile Datenspeicher

  • Einsatz starker Verschlüsselung der mobilen Endgeräte (Bitlocker Festplattenverschlüsselung)
  • Einsatz von Backup- und Synchronisierungsmechanismen zur Verhinderung eines größeren Datenverlusts bei Verlust, z. B. durch Diebstahl
  • Mobile Device Management-Lösung, Reduktion des Funktionsumfangs der Endgeräte auf ein Minimum, wie zum Beispiel Privacy-By-Default, Einsatz von Cloud-Lösungen oder Spracherkennung, Vorgaben für die Verwendung sicherer Installationsquellen

6.4. Ressourcen – Serversysteme

  • Nur kompetent geschulte Personen dürfen Administrationstätigkeiten auf den Servern durchführen
  • Einsatz verschiedene Administrationsrollen mit Rechten nach dem Least-Privileg-Prinzip für unterschiedliche Administrationsaufgaben (zum Beispiel Softwareupdates, Konfiguration, Backup)
  • Geregelter Prozess zum zeitnahen Einspielen von Sicherheitsupdates der Server. Kritische Updates werden unverzüglich eingespielt.
  • Einsatz von Verfahren zur Zwei-Faktor-Authentifizierung bei Anwendungen, die dies insbesondere für Administratoren unterstützen
  • Deaktivierung / Deinstallation von Standard Server-Diensten, die nicht benötigt werden (zum Beispiel Webserver, Printserver)
  • Blockade serverlokale Dienste über Firewall auf Servern vor Außenzugriff
  • Einsatz diverser Härtungsmaßnahmen für das eingesetzte Serverbetriebssystem
  • Deaktivierung von Telemetriedaten an Hersteller, sofern nicht erforderlich

6.5. Ressourcen – Websites & Webanwendungen

  • Verwendung des HTTPS-Protokolls nach Stand der Technik (TLS 1.2 oder TLS1.3)
  • Absicherung von Datenbanken auf dem Webserver mittels Firewalls
  • Fernzugang zu Webservern nur mit verschlüsselter Verbindung und Zwei-Faktor-Authentifizierung (zum Beispiel SSH mit Client-Zertifikaten)
  • Einsatz fachkundiger Administratoren auf den Servern
  • Geregelter Prozess zur Information über Sicherheitsupdates und zeitnahes Einspielen
  • Regelmäßige Durchführung von Sicherheitstests auf Webanwendungen
  • Keine Übertragung personenbezogener Daten (zum Beispiel E-Mail-Adresse) per HTTP-GET-Request, da diese in den Webserver-Log-Dateien gespeichert werden und durch eingesetzte Website-Tracker ausgeleitet werden können
  • Trennung von Webserver, Anwendungslogik und Datenhaltung einer Webanwendung durch eigene Server, die in eine geeignete Firewall-Architektur (zum Beispiel DMZ –Demilitarisierte Zone) eingebunden sind

6.6. Ressourcen – Netzwerk

  • Einsatz einer Firewall am zentralen Internetübergang, Blockade aller nicht benötigten Dienste (zum Beispiel VoIP, Peer-to-Peer, Telnet)
  • Protokollierung und Blockierung von IOCs (Indicators of Compromise, meist URL und IP-Hashes)
  • Regelmäßige Aktualisierung der IOCs aus geeigneten Quellen (Microsoft Defender for Cloud)
  • Einsatz geeigneter Firewall-Architekturen zur Absicherung rein interner Systeme (zum Beispiel Arbeitsplatz, Drucker) zu den über das Internet erreichbaren Servern (zum Beispiel E-Mail-Server, Web-Server, VPN-Endpunkt)
  • Einsatz von Funkzugängen per WLAN nur auf aktuellen WLAN-Routern mit wirksamen Zugangsmechanismen (zum Beispiel WPA-2 mit mind. 24-stelligem Passwort, WP3-Enterprise oder Einsatz eines Radius-Servers)
  • WLAN-Gastzugang ohne Zugangsmöglichkeit zum internen Netzwerk und zeitlich begrenzter Gültigkeit
  • Geregelter Prozess zur ordnungsmäßigen Konfiguration und Überprüfung der Firewalls (zum Beispiel zu der Notwendigkeit von Freigaben, Firmware-Updates)
  • Protokollierungen auf Firewall-Ebene, um auch unbefugte Zugriffe zwischen den Netzen festzustellen und zu analysieren
  • Automatische Benachrichtigungen an die IT-Administration bei Verdacht auf unbefugte Verarbeitungen
  • Regelmäßige Überprüfung der ordnungsgemäßen Konfiguration der Firewall (zum Beispiel mittels Portscans auf die eigenen IP-Adressen von extern und Pentests)
  • Prüfung eingehender E-Mails mittels DMARC, DKIM, SPF und Anti-Malwareschutz
  • Blockade gefährlicher Email-Anhänge und unverschlüsselter Protokolle Einsatz von Intrusion-Detection-Systemen (IDS) oder Intrusion-Prevention-Systemen (IPS)
  • Verwendung von verschlüsselten Verbindungen zwischen Endgeräten und Cloud-Tenants

6.7. Ressourcen – Archivierung

  • Festlegung von Aufbewahrungsfristen pro Verarbeitungstätigkeit
  • Keine Archivierung auf Datenträgern, die für eine lange Speicherdauer ungeeignet sind (zum Beispiel wiederbeschreibbare DVDs)
  • Verschlüsselung von Archivdateien mit geeignetem Schlüsselmanagement Verschlüsselung von Archivdateien mit geeignetem Schlüsselmanagement
  • Auswahl geeigneter Datenformate zur langfristigen Lesbarkeit der Daten

6.8. Ressourcen – Dienstleister

  • Aufzeichnung der Tätigkeiten von externen Dienstleistern
  • Unterzeichnung von Verschwiegenheitsverpflichtungen in den Dienstleistungsverträgen
  • Festlegung der Aufgaben der internen Beschäftigten zur Überwachung und Dokumentation der Tätigkeiten des externen Dienstleisters
  • Regelungen zur wirksamen Datenlöschung auf Hardware (zum Beispiel PCs, Drucker, Smartphones), die vom Dienstleister oder Hersteller zurückgenommen werden (zum Beispiel bei Defekten, Abschreibung)
  • Regelmäßiges Patchmanagement bei Fernwartungssoftware
  • Protokollierung von Fernwartungen externer Dienstleister
  • Begrenzung des Systemzugriffes (Microsoft Privileged Identity Management (PIM) und Microsoft Endpoint Privilege Management (EPM)) bei Wartungstätigkeiten unter Beobachtung
  • Prüfung externer Auftragsverarbeiter auf Eignung gemäß Schutzbedarf der Informationen
  • Prüfung von Auftragsverarbeitungsvereinbarungen auf Vollständigkeit und Ausgewogenheit

7. Dokumentation im Bereich Datenschutz

  • Regelmäßige Dokumentation bzw. Aktualisierung der
    • Verarbeitungstätigkeiten gem. Art. 30 DSGVO als Verantwortlicher und Auftragsverarbeiter
    • Risiken pro Verarbeitungstätigkeit, Prüfung auf Notwendigkeit und ggf. Erstellung einer Datenschutzfolgenabschätzung
    • Löschkonzepte pro Verarbeitungstätigkeit und Nachweis der durchgeführten Löschungen
    • etablierten technischen und organisatorischen Maßnahmen
    • Erlaubnistatbestände, wie zum Beispiel Einwilligungen, Verträgen, Formularen, Informationspflichten und Interessenabwägungen
    • eingesetzter Hard- und Softwarekomponenten
    • durchgeführten Schulungsmaßnahmen
    • in Anspruch genommenen Betroffenenbegehren und -rechte gem. Art. 15 ff/33/34 DSGVO
    • Tätigkeiten des DSB
    • eingesetzten Auftragsverarbeiter und IT-Systeme und deren Prüfungen
    • Aufträge und Anweisungen für Kundenprojekte
    • Bestellung und Einbindung des DSB und Nachweise der Fachkunde

8. Wirksamkeit und Protokollierung

Schutz von Informationen durch regelmäßige Protokollierung, Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Sicherheitsmaßnahmen:

  • Konzept zur regelmäßigen Überprüfung und ggf. Optimierung der Leit- und Richtlinie im Umgang mit personenbezogenen Daten der
    • Verarbeitungstätigkeiten durch den Datenschutzbeauftragten
    • etablierten technischen und organisatorischen Maßnahmen einschl. der Schulungsmaßnahmen für Beschäftigte
    • eingesetzten Auftragsverarbeiter
  • Abstimmung und Umsetzung eines Jahresprüfplanes
  • Konzept zur Protokollierung von Benutzeraktivitäten, technischen Systemereignissen, Fehlerzuständen und Internetaktivitäten unter Berücksichtigung datenschutzrechtlicher Anforderungen (u. a. auch Beschäftigtendatenschutz)
  • Speicherung der Log-Dateien auf einem eigenen Log-Server
  • Synchronisation der Uhren der verwendeten Informationsverarbeitungssysteme (PCs, Notebooks, etc. ) mit geeigneten Zeitquellen, um eine gezielte Analyse bei Sicherheitsereignissen zu ermöglichen
  • Einhaltung der Zweckbindung der Log-Dateien
  • Regelmäßige anlasslose Auswertung der Log-Dateien zur Erkennung ungewöhnlicher Einträge

Hamburg, den 02.08.2024