1 Zutrittskontrolle
In der Anlage zu §9 Satz 1 des Bundesdatenschutzgesetzes heißt es: „… Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle)“.
Mit dem Begriff „Zutritt“ ist der physische Zugang von Personen zu Gebäuden und Räumlichkeiten gemeint, in denen IT- Systeme betrieben und genutzt werden. Dies können z.B. Rechenzentren sein, in denen Web-Server, Applikationsserver, Datenbanken, Mainframes oder Speichersysteme betrieben werden und Arbeitsräume, in denen Mitarbeiter Arbeitsplatzrechner nutzen. Auch die Räumlichkeiten, in denen sich Netzkomponenten und Netzverkabelungen befinden und verlegt sind, gehören hierzu.
Insbesondere sind dies also solche Räume, in denen Datenverarbeitungsanlagen stehen, in welchen personenbezogene Daten des Auftraggebers gespeichert werden, und zudem solche Räume, von denen aus auf solche Datenverarbeitungsanlagen (z.B.: über Eingabe- und Bearbeitungsterminals sowie -computer; über dezentrale DV- Systeme) zugegriffen werden kann.
Ziel der Zutrittskontrolle ist dementsprechend, mit Hilfe geeigneter baulicher, technischer, organisatorischer und personeller Maßnahmen zu verhindern, dass Unbefugte Zutritt zu den Datenverarbeitungsanlagen, den zugehörigen Archiven und all den Räumlichkeiten haben, in denen personenbezogene Daten verarbeitet werden. Damit soll die Nutzung, Zerstörung oder Entwendung dieser Anlagen verhindert werden. Die Größe der Datenverarbeitungsanlage ist dabei unerheblich – die Zutrittskontrolle ist nicht nur auf das eigtl. Rechenzentrum begrenzt, sondern ganzheitlich über alle obe beschriebenen Räumlichkeiten zu gewährleisten
1.1 Grundsätzliche Anforderungen
1.1.1 Festlegung von Sicherheitsbereichen
Der Schutzbedarf eines Gebäudes bzw. Raumes ist festzustellen anhand der darin befindlichen DV-Anlagen sowie ggf. sonstiger Unterlagen auf denen personenbezogene Daten verarbeitet bzw. gespeichert werden.
Die softgarden GmbH erhebt, speichert und verarbeitet personenbezogene Daten im Auftrag ihrer Kunden. Hier werden die dabei anfallenden Daten (Livedaten) auf Servern gespeichert, welche in entsprechend gesicherten und dafür ausgelegten Rechenzentren betrieben werden. Das Schutzniveau für DV-Anlagen ist hierbei hoch, da ein Zugriff auf diese Anlagen auch die Sicherheit der Daten beeinflussen könnte.
Um die Daten vor zufälligen Verlusten zu sichern, werden von diesen Daten Sicherheitskopien (Backups) angefertigt. Diese werden verschlüsselt und räumlich von den Livedaten getrennt in separaten DV-Anlagen aufbewahrt. Aufgrund der Verschlüsselung der Daten ist hierbei ein geringeres Schutzniveau für den physikalischen Zutritt angemessen – welches gleichwohl keinen allgemeinen Zutritt zu den dort befindlichen DV-Anlagen und Datenträgern erlaubt –, da ohne entsprechende Berechtigung und Zugriffsschlüssel die Daten nicht verwendet werden können.
Auch eine Lagerung beweglicher Datenträger mit personenbezogenen Daten, so sie denn in Ausnahmefällen vorkommen sollte, findet in diesem Schutzniveau statt. Grundsätzlich werden allerdings regelmäßig keine beweglichen Datenträger mit personenbezogenen Daten durch die softgarden GmbH gelagert.
Zusätzlich unterliegen die Server, auf denen die Zugriffsberechtigungen zu den einzelnen Arbeitsstationen geregelt werden, einem ähnlichen geringeren Schutzbedarf, da auch die Datenspeicher dieser Server verschlüsselt sind. Abweichend von dem Schutzbedarf für Backup-Server ist hier jedoch der Zutrittsschutz wiederrum weiter vermindert, da auf diesen Servern selbst keinerlei personenbezogenen Daten lagern.
Abgesehen davon werden an einzelnen Arbeitsstationen der Mitarbeiter der softgarden GmbH über definierte Benutzerprogramme je nach Zugriffsberechtigung Zugriffe auf die Live- und Backupdaten ermöglicht, z. B. für Support-Aufgaben (sofern hierzu ein Zugriff auf die personenbezogenen Daten notwendig ist) oder administrative Aufgaben wie Backup- und Restore-Maßnahmen. Auf den Arbeitsstationen selbst sind hierbei keine personenbezogenen Daten permanent gespeichert, jedoch können solche durchaus temporär auf den jeweiligen Monitoren eingesehen werden.
Daher ergeben sich folgende Sicherheitsbereiche:
I (externe) Rechenzentren: hoher Schutzbedarf für die dortigen Sicherheitsbereiche, in denen die Livedaten gespeichert werden.
II-a Serverraum und -schrank Backup-Standort: geringer Schutzbedarf, da alle Daten verschlüsselt sind – gleichwohl kein allgemeiner Zutritt für alle Mitarbeiter der softgarden GmbH.
II-b Serverschrank Zugriffsberechtigungsserver: geringer Schutzbedarf, da alle Daten verschlüsselt sind und keine personenbezogenen Daten auf diesen Servern gespeichert oder verarbeitet werden – gleichwohl kein allgemeiner Zutritt für alle Mitarbeiter der softgarden GmbH.
III Sonstige Betriebsflächen: minimaler Schutzbedarf, da hier keine personenbezogenen Daten gespeichert werden. Gleichwohl soll der Schutzbedarf die temporär einsehbaren personenbezogenen Daten vor Fremdzugriffen angemessen schützen.
1.1.2 Realisierung eines wirksamen Zutrittschutzes
Sicherheitsbereiche sowie deren Zutrittspunkte müssen gegen den Zutritt unbefugter Personen durch geeignete technische (z.B. Spezialverglasung, Einbruchmeldesystem, Drehkreuz mit Chipkarte, Vereinzelungsanlage, Schließanlage) oder organisatorische (z.B. Pförtner) Maßnahmen abgesichert werden.
Für die softgarden GmbH ergibt sich aus den festgestellten Sicherheitsbereichen und ihren jeweiligen Schutzniveaus auch jeweils eine eigene Ausprägung des Zutrittsschutzes:
Sicherheitsbereich I
Der Zutrittsschutz der Rechenzentren wird durch das jeweilige Rechenzentrum realisiert. Die von uns beauftragten Rechenzentren (zum Zeitpunkt der Drucklegung dieses Dokumentes ist dies ausschließlich das Rechenzentrum der HostEurope GmbH, Köln, Welserstr.) weisen alle einen entsprechend hohen und den Anforderungen genügenden Standard auf. Z. B. sind dies personenbezogene Zutrittsüberwachung, Videokameras sowie Bewegungs- und Einbruchmelder, 24/7- Überwachung, redundante Speicherung der Zutrittsprotokolle sowie ein eigenes Vor-Ort- Sicherheitspersonal. Die jeweiligen tatsächlichen Maßnahmen obliegen jedoch der Verantwortlichkeit des jeweiligen Rechenzentrums. Die softgarden GmbH wählt grundsätzlich nur solche Rechenzentren aus, die die Sicherheit durch entsprechende Audits oder Zertifizierungen nachgewiesen haben (z. B. ECO-Audit 5-Sterne, DIN ISO/IEC 27001:2008-09 oder vergleichbar), und die somit den Anforderungen des BDSG genügen.
Sicherheitsbereich II-a
Der Zutrittsschutz für den Serverraum des Backup-Standortes wird durch eine abgesperrte Tür realisiert, zu der nur die Geschäftsführung Schlüssel hat.
Sicherheitsbereich II-a und II-b
Der Zutrittsschutz für die Serverschränke wird durch abgesperrte Schranktüren realisiert, zu denen wiederum nur die Geschäftsführung Schlüssel hat.
Sonstiger Bereich III
Der Zutrittsschutz zu den sonstigen Büroflächen wird durch absperrbare Türen realisiert. Sofern Notausgänge vorhanden sind, sind diese so zu verriegeln, dass ein Öffnen von außen nicht möglich ist ohne die Fluchtfunktion von innen nach außen zu behindern. Alle anderen Türen sind nach Verlassen der Betriebsflächen abzusperren.
1.1.3 Festlegung zurtrittsberechtigter Personen
Die Voraussetzungen sowie der Kreis der allgemein zutrittsberechtigten Personen müssen festgelegt und die Zutrittsberechtigungen zu sicherheitsrelevanten Bereichen auf das notwendige Minimum beschränkt werden (“Prinzip der minimalen Berechtigung”). Der Zutritt ist bei fehlender Berechtigung zu verwehren. Zutrittsmittel zu Gebäuden bzw. Räumlichkeiten sind grundsätzlich personengebunden zu vergeben und dürfen nicht an Dritte weitergegeben werden. Die Nutzer sind hierfür zu sensibilisieren.
Neben der reinen Feststellung der verschiedenen Sicherheitszonen I – III gibt es auch entsprechend verschiedene Personengruppen, die in die jeweiligen Zonen Zutritt haben.
Bei der softgarden GmbH gibt es für den Zutritt grundsätzlich eine Einteilung in folgenden Personengruppen:
Alle Mitarbeiter haben Zutritt zu dem sonstigen Bereich III.
Die Geschäftsführung und entsprechend berechtigte Administratoren haben Zutritt zu dem Sicherheitsbereich II. Nur solche Administratoren haben Zutritt zu diesem Sicherheitsbereich, die diesen Zutritt für die Durchführung ihrer Arbeit benötigen (siehe Zugangs- und Zugriffsberechtigungen), und dieser Zutritt auch entsprechend dokumentiert autorisiert wurde. Hierbei müssen die Administratoren für die Dauer des Zutrittes die erforderlichen Zutrittsmittel (Schlüssel) bei der Geschäftsführung anfordern.
Die Geschäftsführung und entsprechend berechtigte Administratoren haben Zutritt zu dem Sicherheitsbereich I. Nur solche Administratoren haben Zutritt zu diesem Sicherheitsbereich, die diesen Zutritt für die Durchführung ihrer Arbeit benötigen (siehe Zugangs- und Zugriffsberechtigungen), und dieser Zutritt auch entsprechend dokumentiert autorisiert wurde. Die Berechtigung wird hierbei dem Rechenzentrum im Vorfeld bekanntgegeben, damit dort entsprechend Zutritt gewährt werden kann.
1.1.4 Verwaltung und Dokumentation von personengebundenen Zutrittsberechtigungen über den gesamten Lebenszyklus
Ein Prozess zur Beantragung, Genehmigung, Ausgabe, Verwaltung und Rücknahme von Zutrittsmitteln bzw. zum Entzug von Zutrittsrechten (einschl. Schlüssel-, Sichtausweise, Transponder, Chipkartenverwaltung etc.) ist einzurichten, zu beschreiben und zwingend anzuwenden. Regelungen und Verfahren zum Sperren von Zutrittsberechtigungen sind zu beschreiben. Bei Ausscheiden bzw. Wechseln in einen anderen Aufgabenbereich, sind sämtliche Zutrittsmittel und -rechte zu allen bzw. zu im Rahmen der Aufgabenerfüllung nicht mehr erforderlichen Räumlichkeiten unverzüglich zu entziehen. Sämtliche mit Sicherheitsaufgaben betraute Personen, insbesondere der Pförtnerdienst, sind über den Weggang und Funktionsänderungen von Mitarbeitern zu unterrichten.
Zutrittsberechtigungen zu den verschiedenen Sicherheitszonen werden generell durch die Geschäftsleitung erteilt oder entzogen. Hierbei wird für die Ausgabe von Schlüsseln zu der Zone II und III ein Schlüsselbuch geführt, in welchem Name, Datum, Anzahl und Art der Schlüssel festgehalten werden.
Für die darüber hinaus erteilten Zutritte zu der Zone I und II wird ein Zutrittsbuch gepflegt, in welchem die durch die Geschäftsführung erteilten oder entzogenen Zutrittsberechtigungen schriftlich festgehalten werden und auch die Zutritte im Einzelnen protokolliert werden. Außerdem werden die Zutrittsberechtigungen zur Zone I dem Rechenzentrum zur entsprechenden Umsetzung mitgeteilt und dort nochmals gemäß den Regelungen des Rechenzentrumbetreibers protokolliert.
Zutrittsberechtigungen mit dazu gehörigen Zutrittsmitteln werden mit Ausscheiden aus einer entsprechenden Funktion durch die Geschäftsführung entzogen und dies schriftlich wiederum im Schlüssel- bzw. Zutrittsbuch festgehalten. Sofern eine Berechtigung zur Zone I entzogen wird, wird dies wiederum zusätzlich dem Rechenzentrumbetreiber mitgeteilt. Spätestens mit dem Ausscheiden aus dem Unternehmen werden sämtliche Zugriffsberechtigungen entzogen.
1.1.5 Begleitung von Besuchern und Fremdpersonal
Es existieren schriftlich fixierte Regelungen zum Zutritt für Firmenfremde, wie Gäste oder Lieferanten. Diese Regelungen beinhalten minimal die Anforderung, dass Firmenfremde Ihren berechtigten Aufenthalt innerhalb der Gebäude jederzeit nachweisen können, z.B. mittels Gästeausweis, Besucherausweis, oder Lieferantenausweis. Namen und Herkunft (Firmenzugehörigkeit, Geschäftsadresse oder Privatadresse) der Personen sind zu protokollieren. Die stichprobenartige Prüfung des berechtigten Aufenthaltes innerhalb der Gebäude ist obligatorisch. Besteht ein erhöhter Schutzbedarf, sind nicht autorisierte Personen zu begleiten bzw. während ihrer Tätigkeit zu beaufsichtigen.
Betriebsfremde Personen dürfen generell nur nach vorheriger Terminvereinbarung und Genehmigung durch die Geschäftsführung die Büroräume im Sicherheitsbereich III betreten. Sie sind die gesamte Zeit über durch einen Mitarbeiter zu begleiten. Davon ausgenommen sind regelmäßig wiederkehrende betriebsfremde Personen (z. B. Reinigungspersonal externer Reinigungsfirmen); diese dürfen den Sicherheitsbereich III auch ohne Begleitung betreten, sofern sie sich schriftlich sowohl den gesetzlichen Datenschutzbestimmungen, denen der softgarden GmbH, und dem Datengeheimnis verpflichtet haben.
Aufgrund der geringen Größe und Überschaubarkeit der Betriebsflächen (Büroflächen) wird generell auf Besucher- oder Gästeausweise verzichtet.
Den Sicherheitsbereich II dürfen betriebsfremde Personen grundsätzlich nicht betreten. Sollte ein besonderes Ereignis dies dennoch erforderlich machen (z. B. notwendig gewordene Reparaturen), so dürfen betriebsfremde Personen nur in Begleitung der Geschäftsführung oder einer entsprechend betrauten Person diesen Bereich betreten. Zutritte zu dieser Zone werden im Zutrittsbuch mit Datum, Name, Firmenname festgehalten.
Der Zutritt zu dem Sicherheitsbereich I durch betriebsfremde Personen wird gemäß den Richtlinien des jeweiligen Rechenzentrum-Betreibers oder gesetzlichen Regelungen (z. B. Vor-Ort-Kontrollen gemäß BDSG) gestattet und durch den Rechenzentrumsbetreiber überwacht. Von sich aus erteilt die softgarden GmbH betriebsfremden Personen abgesehen von Zutritten aufgrund gesetzlicher Erfordernissen grundsätzlich keine Zutrittsberechtigung zur Zone I.
1.1.6 Überwachung der Räume außerhalb der Schließzeiten
Das Gebäude bzw. die Räumlichkeiten, in denen sich DV-Anlagen befinden, auf denen personenbezogene oder personenbeziehbare Daten verarbeitet und/oder gespeichert werden, sind außerhalb der regulären Betriebszeiten zu überwachen.
Der Sicherheitsbereich I wird gemäß den Sicherheitsbestimmungen des jeweiligen Rechenzentrum-Betreibers überwacht. Dies wird in der Regel z. B. durch Videokameras, Bewegungs- und Einbruchmelder, 24/7- Überwachung sowie eigenem Vor-Ort-Sicherheitspersonal durchgeführt.
Der Sicherheitsbereich II und III wird generell nicht durch aktive Komponenten wie Einbruchmeldeanlage o. ä. überwacht. Im Sicherheitsbereich II werden jedoch die dort untergebrachten DV-Anlagen durch ein entsprechendes Monitoring-System auf physikalische Änderungen hin überwacht (z. B. Temperatur-Sensor, Gehäuse- Öffnungs-Sensor, Strom- und Netzwerk-Sensoren). Die Monitoring-Systeme sind hierbei redundant und ortsunabhängig aufgebaut, so dass die Manipulation eines Sicherheitsbereiches (z. B. Sicherheitsbereich II in dem Standort Berlin) in einem jeweils anderen Sicherheitsbereich (z. B. Sicherheitsbereich II in dem Standort Saarbrücken) erfasst werden kann.
1.1.7 Protokollierung des Zutritts
Bei Verwendung von elektronischen Zutrittskontrollanlagen sind die Zutrittsprotokolle 12 Monate revisionssicher aufzubewahren. Zur Missbrauchserkennung sind regelmäßig stichprobenartige Auswertungen vorzunehmen.
Im Sicherheitsbereich I werden die Zutritte gemäß den Bestimmungen des jeweiligen Rechenzentrums-Betreibers protokolliert.
In den Sicherheitsbereichen II und III gibt es keine elektronischen Zutrittskontrollanlagen. Die manuell in dem Zutrittsbuch erfassten Zutritte werden für mindestens 12 Monate aufgehoben.
2 Zugangskontrolle
In der Anlage zu §9 Satz 1 des Bundesdatenschutzgesetzes heißt es: „…zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle)…“.
Ergänzend zur Zutrittskontrolle ist es Ziel der Zugangskontrolle zu verhindern, dass DV-Anlagen, mit denen personenbezogene Daten gespeichert, verarbeitet oder genutzt werden oder mit denen auf solche DV-Anlagen zugegriffen werden kann (z.B. dezentrale DV-Systeme; Ein- und Verarbeitungsterminals) von Unbefugten genutzt werden.
Unter Zugang ist das Eindringen in das Datenverarbeitungssystem selbst zu verstehen.
2.1 Grundsätzliche Anforderungen
2.1.1 Zugangsschutz (Authentisierung)
Der Zugang zu DV-Anlagen, auf denen Daten verarbeitet werden, darf erst nach Identifikation und erfolgreicher Authentisierung (z.B. durch Benutzername und Passwort oder Chipkarte / PIN) der befugten Personen durch dem Stand der Technik entsprechende Sicherheitsmaßnahmen möglich sein. Der Zugang ist bei fehlender Berechtigung entsprechend zu verwehren.
Grundsätzlich sind alle Zugänge zu personenbezogenen Daten zugangsgeschützt. Im Einzelnen sind folgende Zugänge zu den Daten möglich:
Zugang zu den Anwendungssystemen per Web-Oberfläche (reguläre Nutzung): jeder Nutzer muss sich zum Zugriff auf personenbezogene Daten authentisieren – normalerweise mittels Benutzername und Passwort, aber auch abweichend davon durch entsprechende pre-authentifizierte Links mit Benutzerzuordnung.
Zugang zu den Servern (z. B. für administrative Aufgaben, Zugang normalerweise per SSH): alle Server verlangen eine Benutzerauthentifizierung. Dies wird in der Regel durch hinterlegte, benutzerbezogene verschlüsselte SSH-Keys durchgeführt, in Ausnahmefällen (wenn SSH-Keys nicht möglich sind) aber auch per Benutzername und Passwort.
Zugang zu den Datenbanken (z. B. für administrative Aufgaben): alle Datenbanken verlangen für den Zugang eine Benutzerauthentifizierung (in der Regel mit Benutzername und Passwort).
Neben dem Zugangsschutz durch die im folgenden beschriebenen Authentisierungsverfahren sind die internen Netzwerke zusätzlich mittels Firewalls oder Netz-Segmentierungen gegen ungewollten Zugang und Zugriffe von außen abgeschottet.
2.1.2 Starke Authentisierung bei höchstem Schutzniveau
Eine starke Authentisierung erfolgt immer auf Basis mehrerer (mindestens zweier) Merkmale wie z.B. Besitz und Wissen oder auf einer einmaligen, dem Nutzer eigenen Eigenschaft (in der Regel biometrische Verfahren). Dies sind beispielsweise:
Chipkarte mit Zertifikaten und PIN OneTimePassworte (OTP) + Gerät Einsatz von biometrischen Verfahren Indirekte Anmeldung (z.B. Kerberos)
Der direkte Zugriff (z. B. per SSH) auf die Server, auf denen personenbezogene Daten gespeichert werden (seien es die Live- oder die Backupdaten) wird mittels dort hinterlegter personenbezogener SSH-Keys authentisiert. Diese Keys müssen mindestens 2048bit Key-Länge haben, und selbst nochmals mittels Passwort geschützt sein. Somit wird der Zugriff als starke Authentisierung gestaltet, um administrative Zugriffe mit einem höchstmöglichen Schutzniveau zu sichern.
Ein Zugriff auf die dort gespeicherten Datenbanken ist nur nach erfolgreicher starker Authentisierung an dem jeweiligen Server möglich, so dass hier ein Schutz mittels Benutzername und Passwort als ausreichend angesehen wird.
2.1.3 Einfache Authentisierung (per Benutzername/Passwort) bei hohem Schutzniveau
Passworte müssen angemessenen Mindestregeln entsprechen wie z.B. einer minimalen Passwortlänge und Komplexität. Passworte müssen in regelmäßigen Abständen geändert werden. Erstpassworte müssen umgehend geändert werden. Die Umsetzung der Anforderungen an Passwortlänge, Passwortkomplexität und Gültigkeit ist soweit möglich durch technische Einstellungen sicherzustellen.
Grundsätzlich werden die verfügbaren Zeichen in folgende Kategorien unterteilt: Kleine Buchstaben: a-z
Große Buchstaben: A-Z
Ziffern: 0-9
Sonderzeichen: alles andere, z.B. !“§$%…
Generell gilt weiterhin:
Ein Passwort darf bei der Eingabe nicht im Klartext auf dem Bildschirm sichtbar sein.
Das Erstpasswort muss auf sicherem Wege zum Nutzer kommen und/oder dieser mindestens sofort nach erstmaliger Anmeldung aufgefordert werden, dieses zu ändern.
Sofern zur Authentisierung Benutzername und Passwort benötigt wird, so wird das zugehörige Passwort zu keiner Zeit am Bildschirm im Klartext angezeigt. Dies trifft auf alle Zugriffsmöglichkeiten zu – sei es per Web-Oberfläche, SSH-Zugriff oder Datenbank-Zugriff, und sei es durch Mitarbeiter der softgarden GmbH oder zugriffsberechtigter Nutzer des Kunden.
Passwörter, die durch die softgarden GmbH erstellt und vergeben werden, werden nach folgender Policy vergeben:
eine Mindestlänge von 8 Buchstaben,
ein Zeichenmix aus mindestens drei der oben genannten Kategorien, kein leicht zu erratenden Begriffe und kein Trivialpasswort,
kein Bestandteil des Nutzernamens ist Teil des Passwortes.
Entweder wird ein durch einen dazu berechtigten Nutzer oder Administrator erstelltes Initialpasswort dem zugehörigen Nutzer mitgeteilt; oder der Nutzer erstellt sein neues Passwort direkt gemäß der vorgenannten Policy selbst, sofern dies durch die konkret genutzte Software möglich ist. Hat der Nutzer ein Initialpasswort zugewiesen bekommen, so muss er dieses baldmöglichst ändern, und dabei die gleiche Policy wie vorstehend einhalten. Einmal erstellte Passwörter sind grundsätzlich regelmäßig (spätestens alle 6 Monate) zu wechseln. Hierbei hat jeder User darauf zu achten, dass keine früher bereits verwendeten Passwörter (komplett oder in modifizierter Form) wiederverwendet werden. Die Wechselintervalle werden jedoch systemseitig nicht vorgegeben, da wir längere, sicherere Passwörter solchen vorziehen, die zwar regelmäßig gewechselt werden, deswegen allerdings tendenziell auch entweder eher aufgeschrieben werden oder eher unsicherer Natur sind („einfach zu merken“) und die Sicherheit damit gefährden.
Diese Policy gilt für Passwörter aller Zugriffsmöglichkeiten auf personenbezogene Daten – sei es eine der verschiedenen Web-Oberflächen, SSH-Zugriff, SSH-Key- Passwort, Datenbankpasswort.
Passwörter für Nutzer, die für Nutzer des Kunden bestimmt sind, werden gemäß der jeweiligen Kunden-Passwort-Policy entweder direkt durch den Kunden vergeben oder durch dazu berechtigte Mitarbeiter der softgarden GmbH dem Kunden bereitgestellt. Ob die neuen Nutzer anschließend ihr Passwort direkt oder regelmäßig ändern müssen, hängt von der jeweiligen Kunden-Passwort-Policy ab.
2.1.4 Gesicherte Übertragung von Authentisierungsgeheimnissen (Credentials) im Netzwerk
Das Authentisierungsgeheimnis (z.B. Benutzerkennung und Passwort) darf nie ungeschützt über das Netzwerk übertragen werden.
Alle Anmeldungen, die über ein Netzwerk durchgeführt werden, werden grundsätzlich verschlüsselt durchgeführt. Bei webbasierten Benutzeroberflächen sind diese TLS / HTTPS verschlüsselt, bei direkten Zugriffen auf Server wird dies wahlweise über SSH oder VPN (IPSec, openVPN, o.ä.) verschlüsselt.
2.1.5 Sperrung bei Fehlversuchen / Inaktivität und Prozess zur Rücksetzung gesperrter Zugangskennungen
Nach wiederholter fehlerhafter Authentisierung muss der Zugang gesperrt werden. Ein Prozess zur Rücksetzung bzw. Entsperrung von gesperrten Zugangskennungen ist einzurichten, zu beschreiben und anzuwenden. Benutzerkennungen, welche über einen längeren Zeitraum nicht genutzt werden, müssen automatisch gesperrt bzw. auf inaktiv gesetzt werden.
In den webbasierten Benutzeroberflächen werden Zugänge nicht automatisch gesperrt. Es gibt jedoch für entsprechend berechtigte Nutzer die Möglichkeit, einzelne Benutzerkonten manuell zu sperren.
Die SSH-Anmeldungen an den Servern sind so konfiguriert, dass IP-Adressen, von denen mehr als 30 Fehlversuche innerhalb eines Zeitfensters von einer halben Stunde eingehen, für 12 Stunden ausgesperrt werden. Diese Sperre kann durch Administratoren auch früher wieder aufgehoben werden, sofern dies nötig sein sollte.
Auch greifen die je nach Betriebssystem vorhandenen Standard-Mechanismen zur (zeitweisen) Sperrung von Nutzerkonten bei zu häufiger Falscheingabe.
Zusätzlich werden Zugangskennungen zu den Arbeitsplatzrechnern durch entsprechend berechtigte Administratoren bei längerer Abwesenheit des entsprechenden Mitarbeiters manuell ge- oder entsperrt, Hierbei werden Zugangskennungen für Mitarbeiter, die länger als 30 Tage am Stück abwesend sind, gesperrt, und bei ihrer Rückkehr wieder entsperrt.
2.2.6 Verbot Speicherfunktion für Passwörter und/oder Formulareingaben (Server/Clients)
Zugriffspasswörter und/oder Formulareingaben dürfen nicht auf dem Client selbst oder in seiner Umgebung abgelegt werden (z.B. Speicherung im Browser, „Passwortdatenbanken“ oder Haftnotizen). Die Nutzer sind hierfür zu sensibilisieren.
Alle Mitarbeiter der softgarden GmbH dürfen Zugangspasswörter nicht in den Browsern speichern. Auch ist das Aufschreiben auf Notizzettel o. ä. untersagt.
2.1.7 Festlegung befugter Personen
Der Kreis der Personen, die befugt Zugang zu DV-Anlagen auf oder mit denen Daten verarbeitet und/oder gespeichert werden (können), ist auf das zur jeweiligen Aufgaben- bzw. Funktionserfüllung im Rahmen der laufenden Betriebsorganisation notwendige Minimum zu beschränken. Zugänge für temporär beschäftigte Personen (Berater, Praktikanten, Auszubildende) müssen individuell vergeben werden. Wieder verwendbare Kennungen (z.B. Berater1, Azubi1, etc.) dürfen nicht vergeben werden.
Bei der softgarden GmbH wird die Anzahl der Personen mit Zugang zu vorgenannten DV-Anlagen auf ein Minimum reduziert. Hierbei werden – wie auch in Regelung der Zugangskontrolle beschrieben – vier Personengruppen unterschieden: System- Administratoren, Datenbank-Administratoren, normale Benutzer, und Personen ohne Zugang zu solchen DV-Anlagen.
System-Administratoren können die von der Geschäftsführung erteilten Zugangs- und Zugriffsberechtigungen in das System einpflegen und entsprechende Berechtigungsmerkmale protokolliert ausgeben (z.B. SSH-Keys), System-Wartungen und Updates durchführen, Server-Logs einsehen, und ganz allgemein serverbezogene administrative Aufgaben durchführen.
Datenbank-Administratoren können sich auf Datenbank-Ebene direkt in die jeweiligen Kundendatenbanken einloggen und dort administrative Arbeiten durchführen und Backups erstellen. Normale Benutzer können sich nur über die jeweligen Web-Oberflächen in die Anwendungssysteme einloggen, und dort die ihren jeweiligen Zugriffsberechtigungen entsprechenden Aufgaben durchführen.
Mitarbeiter ohne Zugang zu solchen Systemen (z.B. im Marketing-, Designbereich, Webentwicklung etc.).
2.1.8 Verwaltung und Dokumentation von personengebundenen Authentifizierungsmedien und Zugangsberechtigungen
Ein Prozess zur Beantragung, Genehmigung, Vergabe und Rücknahme von Authentifizierungsmedien und Zugangsberechtigungen ist einzurichten, zu beschreiben und zwingend anzuwenden. Dieser beinhaltet mindestens einen Beantragungs- und Genehmigungsprozess sowie den Prozess zur Rücknahme von Authentifizierungsmedien und Zugangsberechtigungen.
Die Vergabe von Zugangsberechtigungen darf immer nur für diejenigen DV- Anlagen(- typen) erfolgen, zu welchen der Zugang im Rahmen der Aufgabenwahrnehmung notwendig ist (“Prinzip der minimalen Berechtigung”). Authentifizierungsmedien sowie Zugangskennungen für den Zugang zu DV-Anlagen sind grundsätzlich personengebunden zu vergeben und an ein persönliches Credential (z.B. Passwort, Token, Chipkarte) zu knüpfen (Benutzerkennung). Authentifizierungsmedien und/oder Benutzerkennung/Passwort-Kombination dürfen nicht an Dritte weitergegeben werden. Die Nutzer sind hierfür zu sensibilisieren.
Regelungen und Verfahren zum Sperren und datenschutzgerechten Löschen von Zugangskennungen müssen beschrieben werden. Bei Ausscheiden bzw. Wechseln in einen anderen Aufgabenbereich, sind sämtliche Authentifizierungsmedien und Zugangsberechtigungen zu allen bzw. zu im Rahmen der Aufgabenerfüllung nicht mehr benötigten DV-Anlagen, unverzüglich zu entziehen. Hierbei ist sicherzustellen, dass alle beteiligten Stellen über den Weggang bzw. Funktionsänderungen von Mitarbeitern informiert sind (insb. IT-/Berechtigungsadministration).
Neue Zugänge werden mündlich oder schriftlich bei der Geschäftsführung beantragt. Sofern ein Zugang gewährt wird, so wird das zugehörige Authentifizierungsmedium wie in starke und einfache Authentisierung beschrieben erstellt und dem Mitarbeiter ausgehändigt.
Ein Zugang wird genau dann und nur für die Dauer gewährt, solange ein Mitarbeiter diesen für die Durchführung seiner Arbeit benötigt und dieser auch dazu berechtigt ist.
Zugänge werden grundsätzlich personengebunden mit individuellen Zugangsdaten und Zugangsmedien vergeben. Die Zugangserteilung oder -entziehung wird schriftlich im Zugangsbuch festgehalten mit Name, Datum, Zugang zu was, Fachaufgabe die den Zugang rechtfertigt oder benötigt.
2.1.9 Protokollierung des Zugangs
Alle erfolgreichen und abgewiesenen Zugangsversuche müssen protokolliert (verwendete Kennung, Rechner, IP-Adresse) und revisionssicher archiviert werden. Zur Missbrauchserkennung sind regelmäßig stichprobenartige Auswertungen vorzunehmen.
Zugangsversuche (erfolgreiche wie abgewiesene) zu den Servern auf SSH-Ebene werden in den Server-Logs gespeichert und diese für 3 Monate aufbewahrt.
Zugangsversuche zu den Weboberflächen werden im allgemeinen derzeit nicht erfasst. Ausnahmen davon gibt es in einzelnen Weboberflächen, die dies erfassen und entsprechend archivieren.
Sobald ein Mitarbeiter diesen Zugang aufgrund Ausscheidens aus dieser Fachaufgabe nicht mehr benötigt, wird sein personengebundener Zugang wieder gesperrt.
3 Maßnahmen am Arbeitsplatz des Anwenders
3.1 Automatische Zugangssperre
Bei mehr als fünf Minuten Inaktivität der Arbeitstation bzw. des Terminals muss ein kennwortgeschützter Bildschirmschoner mit Hilfe der betriebssystemeigenen Mechanismen automatisch aktiviert werden. Jeder Mitarbeiter mit Zugriffberechtigung auf personenbezogene Daten hat seinen Arbeitsplatz so einzurichten, dass nach Inaktivität von mehr als 5 Minuten ein Bildschirmschoner mit Kennwortschutz automatisch aktiviert wird.
Entsprechende Arbeitsanweisungen finden sich in der User-Policy, die jedem Mitarbeiter vorliegt.
3.2 Manuelle Zugangssperre
Arbeitsstationen und Terminals sind bei vorübergehendem Verlassen des Arbeitsplatzes gegen unbefugte Nutzung zu schützen (z.B. durch manuelle Aktivierung des kennwortgeschützten Bildschirmschoners, durch Sperrung des Systems über den Task- Manager oder Abmeldung). Die Mitarbeiter sind hierfür zu sensibilisieren.
Jeder Mitarbeiter mit Zugriffberechtigung auf personenbezogene Daten hat seinen Arbeitsplatz mittels Bildschirmschoner mit Kennwortschutz zu schützen, wenn er seinen Arbeitsplatz vorübergehend verlässt.
Entsprechende Arbeitsanweisungen finden sich in der User-Policy, die jedem Mitarbeiter vorliegt.
4 Zugriffskontrolle
In der Anlage zu §9 Satz 1 des Bundesdatenschutzgesetzes heißt es: „…zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle)“.
Die Anforderungen der Zugriffskontrolle sind darauf ausgerichtet, dass nur durch Berechtigte auf die Daten zugegriffen werden kann, für die eine Zugriffsberechtigung besteht und dass die Daten nicht durch Unbefugte manipuliert oder gelesen werden können.
4.1 Grundsätzliche Anforderungen
4.1.1 Erstellen eines Berechtigungkonzepts
Ein Berechtigungskonzept (Benutzer- und Administrationsberechtigungen) stellt sicher, dass der Zugriff auf Daten des Systems nur in dem Umfang ermöglicht wird, wie es für die jeweilige Aufgabenerledigung gemäß interner Aufgabenverteilung und Funktionstrennung des Benutzers erforderlich ist. Regelungen und Verfahren zum Anlegen, Ändern und datenschutzgerechten Löschen von Berechtigungsprofilen bzw. Benutzerrollen sind darin zu beschreiben. Aus dem Berechtigungskonzept muss hervorgehen, welche Aufgabenträger Administrationsaufgaben (System, Benutzer, Betrieb, Transport) wahrnehmen und welche Benutzergruppen, welche Aktivitäten im System durchführen können. Verantwortlichkeiten sind geregelt.
Das Berechtigungskonzept ergibt sich aus 2.1.7. Es gibt folglich folgende Nutzergruppen bei der softgarden GmbH:
System-Administratoren – aufgrund der Größe der softgarden GmbH gibt es innerhalb der Gruppe der System-Administratoren keine weiteren Unterteilungen.
Sie haben Zutritt zur Zone I, II und III.
Sie haben (SSH-) Zugang zu allen DV-Anlagen der Zonen I, II und III.
Sie haben Zugriffsberechtigungen zu allen Diensten auf diesen Servern. Sie können damit jegliche Server-Administrationsaufgaben wahrnehmen. Datenbank-Administratoren
Administratoren für die Test-Systeme
Sie haben Zugang zu den DV-Anlagen der Zonen I (sofern dort Test-Systeme installiert und betrieben werden), Zone II (Test-Systeme, nicht jedoch Backup-Systeme der Produktivumgebungen) und III.
Sie haben Zugriffsberechtigung zu den Verwaltungsprogrammen der Datenbankserver, zu denen sie auch Zugang haben.
Sie können damit jegliche Datenbank-Administrationsarbeiten auf diesen Testumgebungen wahrnehmen.
Administratoren der Produktivumgebungen
Sie haben Zugang zu den DV-Anlagen der Zonen I, II und III
Sie haben Zugriffsberechtigung zu den Verwaltungsprogrammen aller Datenbankserver, zu denen sie auch Zugang haben.
Sie können damit jegliche Datenbank-Administrationsarbeiten auf den Test-, Produktiv- und Backupumgebungen wahrnehmen.
Normale Nutzer mit Zugriffsberechtigung auf Anwendungen, welche personenbezogene Daten verarbeiten
Sie haben Zugriff auf diejenigen Anwendungsprogramme, auf die sie im Rahmen Ihrer jeweiligen Arbeit Zugriff benötigen. Innerhalb der jeweiligen Anwendungsprogramme gibt es nochmals programm- und kundenspezifische Zugriffsprofile, die jeweils mit den Kunden im Einzelnen vereinbart werden (z. B. reine Support-Benutzer ohne Zugriff auf die eigentlichen personenbezogenen Daten, Support-Benutzer mit Zugriff auf diese Daten, o. ä.).
Sie können damit die jeweiligen mit den Kunden vereinbarten Aufgaben wahrnehmen (z. B. Anwender-Support).
Mitarbeiter der softgarden GmbH ohne Zugriffsberechtigungen auf solche Anwendungen
Alle anderen Mitarbeiter sind aus Datenschutzgesichtspunkten in dieser Nutzergruppe angesiedelt. Sie haben keinen Zutritt, Zugang oder Zugriff auf DV-Anlagen und Anwendungen, die personenbezogene Daten speichern oder verarbeiten.
Sofern diese oben beschriebenen Zugriffsgruppen und -profile geändert werden müssen (z.B. neue Gruppen, weil weitere, andersartige Anwendungen in der Zukunft entwickelt und betrieben werden), so ist das Verfahren wie folgt:
Die Geschäftsführung berät über die notwendigen Änderungen und beschließt diese.
Dieses Dokument wird entsprechend erweitert.
Die Mitarbeiter werden wieder den entsprechenden Gruppen zugeordnet.
4.1.2 Umsetzung von Zugriffsbeschränkungen
Mit jeder Zugangsberechtigung muss eine Zugriffsberechtigung verknüpft sein, beispielsweise durch die Verknüpfung mit einer oder mehrere im Berechtigungskonzept definierten Rollen. Jeder Zugangsberechtigte darf nur mit den Anwendungen und innerhalb dieser Anwendungen nur auf die Daten zugreifen, die er zur auftragsgemäßen Bearbeitung des jeweils aktuellen Vorgangs konkret benötigt und die in dem individuellen Berechtigungsprofil eingerichtet sind.
Soweit Datenbestände mehrerer Auftraggeber in einer Datenbank gespeichert oder mit einer Datenverarbeitungsanlage verarbeitet werden, sind logische Zugriffseinschränkungen vorzusehen, die ausschließlich auf die Datenverarbeitung für den jeweiligen Auftraggeber ausgerichtet sind (Mandantenfähigkeit). Zudem ist die Datenverarbeitung selbst soweit einzuschränken, dass ausschließlich die minimal erforderlichen Funktionen für die Verarbeitung der personenbezogenen Daten verwendet werden können.
Es werden in den Datenverarbeitungsanlagen eindeutige Merkmale eingebaut, die es der zugreifenden Person ermöglicht, zu erkennen, dass es sich um eine authentische Datenverarbeitungsanlage handelt. Zudem muss sich auch der Zugriffsberechtigte gegenüber der Datenverarbeitungsanlage anhand von nachprüfbaren eindeutigen Merkmalen identifizieren und authentisieren lassen, z.B. mittels Ausweislesern an den Terminals.
Innerhalb der Anwendungen, die normale Nutzer zur Bearbeitung von personenbezogenen Daten nutzen können, sind die Berechtigungen gruppen- und nutzerbezogen vergeben. Dies bedeutet, dass Nutzer nur die zu ihren jeweiligen Aufgaben benötigten Funktionen nutzen können, und auch nur die für sie freigegebenen Daten einsehen und bearbeiten können. Diese Unterteilungen gelten sowohl für die Beschränkungen über Mandanten-Grenzen hinweg, als auch innerhalb eines Mandanten. Sie sind in der Regel durch in Software implementierte Gruppen-, Rollen-, und Benutzerrechten (ACLs) umgesetzt.
Aufgrund der Größe der softgarden GmbH ist für System- und Datenbank- Administratoren keine weitere Unterteilung mehr vorgenommen – alle Administratoren haben wie in 3.1.1 beschrieben Zugriff auf die jeweiligen Systeme.
Um den Nutzern gegenüber die Identifizierung der Systeme zu ermöglichen, werden folgende Verfahren eingesetzt:
In Web-Oberflächen werden SSL-Zertifikate eingesetzt, die es den Anwendern ermöglichen, zu identifizieren, ob sie mit einem Server der softgarden GmbH interagieren.
In Bereich der direkten Zugriffe auf Server (mittels SSH) identifizieren sich die Server mittels ihrer jeweiligen Fingerprints – somit ist es den Administratoren möglich, zu prüfen, mit welchem Server sie interagieren.
Um das Risiko eines ungewollten Zugriffs auf personenbezogene Daten weiterhin zu verringern, werden zusätzlich alle Datenträger von Systemen, die personenbezogene Daten außerhalb von Sicherheitsbereich I speichern (z. B. Backup-Systeme) mit aktueller, dem Stand der Technik entsprechenden Verfahren verschlüsselt (z. B. AES- 256).
4.1.3 Vergabe minimaler Berechtigungen
Der Umfang der Berechtigungen, ist auf das zur jeweiligen Aufgaben- bzw. Funktionserfüllung notwendige Minimum zu beschränken. Soweit bestimmte Funktionen ohne Verlust der Qualität der Datenverarbeitung zeitlich beschränkbar sind, sind Zugriffe auf die personenbezogene Daten und Berechtigungen zeitlich zu begrenzen.
Für Administratoren gelten wie in 3.1.1 und 3.1.2 beschrieben neben den dort beschriebenen Einschränkungen keine weiteren Einschränkungen. Sobald ein Administrator jedoch diese Fachaufgabe verlässt (aus dem administrativen Dienst ausscheidet, werden umgehend seine Zutritts-, Zugangs- und Zugriffsberechtigungen aufgehoben.
Für normale Nutzer werden jeweils nur solange diejenigen Rechte vergeben, die für die wahrzunehmenden Aufgaben vonnöten sind. Dies wird individuell mit den jeweiligen Kunden zusammen festgelegt (siehe auch 3.1.1 und 3.1.2). Auch hier gilt: sobald ein Mitarbeiter der softgarden GmbH aus der jeweiligen Fachaufgabe ausscheidet, wird seine Zugriffsberechtigung umgehend aufgehoben. Die Erteilung oder Aufhebung von Zugriffsberechtigungen der Nutzer des jeweiligen Kunden obliegt der Verantwortung des Kunden, kann aber im Auftrag auch durch die softgarden GmbH durchgeführt werden.
4.1.4 Verwaltung und Dokumentation von personengebundenen Zugriffsberechtigungen
Ein Prozess zur Beantragung, Genehmigung, Vergabe und Rücknahme von Zugriffsberechtigungen und deren Prüfung ist einzurichten, zu beschreiben und zwingend anzuwenden. Regelungen und Verfahren zum Erteilen/Entziehen von Berechtigungen bzw. der Zuweisung von Benutzerrollen sind zu beschreiben. Umgesetzt werden müssen die Zugriffsrechte durch die Rechteverwaltung des IT- Systems.
Berechtigungen sind an eine persönliche Benutzerkennung und an einen Account zu knüpfen. Dies schließt den Einsatz von mehreren Personen genutzten Gruppenkennungen/- passwörtern aus.
Bei der Vergabe der Berechtigungen bzw. Zuweisung von Benutzerrollen dürfen immer nur so viele Zugriffsrechte vergeben werden, wie es für die Aufgabenwahrnehmung notwendig ist (“Need-to-know-Prinzip”). Dabei ist sicherzustellen, dass die im System abgebildete Funktionstrennung nicht durch kumulierte Berechtigungen aufgehoben wird.
Bei Ausscheiden bzw. Wechseln in einen anderen Aufgabenbereich, sind sämtliche Zugriffsrechte zu allen bzw. zu im Rahmen der Aufgabenerfüllung nicht mehr benötigten DV- Anlagen und Speicherbereichen unverzüglich zu entziehen. Hierbei ist sicherzustellen, dass alle beteiligten Stellen über den Weggang bzw. Funktionsänderungen von Mitarbeitern informiert sind (insb. IT- /Berechtigungsadministration). Die Dokumentationen sind 12 Monate aufzubewahren.
Zugriffsberechtigungen werden mündlich oder schriftlich bei der Geschäftsführung beantragt.
Sofern dieser Zugriff für einen Datenbank- oder Systemadministrator bestimmt ist, so entscheidet die Geschäftsführung hierüber. Sollte solche ein Zugang gewährt werd, so wird der zugehörige Zugriff entsprechend freigeschaltet.
Sofern dieser Zugriff für einen normalen Nutzer der softgarden GmbH bestimmt ist zum Zugriff auf Anwendungen, die personenbezogene Daten eines oder mehrerer Kunden verarbeiten, so wird dies dem Kunden mitgeteilt und mit diesem je nach inidividueller vertraglicher Regelung zusammen oder nur durch eine Partei entschieden, ob dieser Zugriff gewährt werden soll. Sollte solche ein Zugang dann gewährt werden, so wird der zugehörige Zugriff entsprechend freigeschaltet.
In beiden Fällen wird eine Zugriffsberechtigung genau dann und nur für die Dauer gewährt, solange ein Mitarbeiter diese für die Durchführung seiner Arbeit benötigt und dieser auch dazu berechtigt ist. Die Erteilung oder Entziehung der Zugriffsberechtigung wird schriftlich im Zugriffsberechtigungsbuch festgehalten mit Name, Datum, Zugriff auf was, Fachaufgabe die den Zugriff rechtfertigt oder benötigt.
Sobald ein Mitarbeiter diese Berechtigung aufgrund Ausscheidens aus dieser Fachaufgabe nicht mehr benötigt, wird die Berechtigung wieder gesperrt.
4.1.5 Vermeidung der Konzentration von Funktionen
Sowohl in Applikationen als auch im administrativen Bereich ist eine Konzentration von Funktionen zu vermeiden. Es ist zu vermeiden, dass durch eine geeignete Konzentration von verschiedenen Rollen bzw. Zugriffsrechten auf eine Person diese in der Kombination eine übermächtige Gesamtrolle erhalten kann und dadurch Kontrollmöglichkeiten ausgeschaltet werden. Beispielsweise kann ein Datenbank- Administrator, der gleichzeitig Anwender der Applikation ist, Transaktionen durch direkte Zugriffe auf das Datenbankmanagementsystem manipulieren oder Daten einsehen, die nicht seiner Rolle entsprechen. Insbesondere gilt dies für die Protokollierungstechniken für die Zugriffe auf personenbezogene Daten. Hier dürfen nicht dieselben Personen das Protokollierungssystem administrieren, deren unerlaubte Zugriffe ggf. erkannt werden sollen.
Grundsätzlich sind die Zugriffe wie in 2.1.7 und 3.1.1 beschrieben getrennt auf die verschiedenen Gruppen (Datenbank-, System-Administratoren, und normale Benutzer; Zugriff auf Test-Umgebung oder Produktiv- und Backup-Umgebung, …).
Generell wird bei der softgarden GmbH versucht, diese Berechtigungen und Funktionen so auf das Personal zu verteilen, dass die verschiedenen Rollen bei verschiedenen Personen liegen.
Jedoch kann dies aufgrund der Größe der softgarden GmbH nicht strikt umgesetzt werden – es gibt letztlich schon Mitarbeiter, die mehrere Funktionen und Rollen in sich vereinen, und daher auch entsprechend die verschiedenen Zutritts-, Zugangs- und Zugriffsberechtigungen gleichzeitig innehalten. Hierbei wird jedoch versucht – sofern dies möglich ist – solche Personen dafür auszuwählen, die bereits langjährig im Unternehmen sind, entsprechend dem Datengeheimnis verpflichtet sind und in der Vergangenheit immer tadellos die Sicherheitsansprüche der softgarden GmbH erfüllt haben.
4.1.6 Protokollierung des Datenzugriffs
Alle Lese-, Eingabe-, Änderungs- und Löschtransaktionen müssen protokolliert (Benutzerkennung, Transaktionsdetails) werden. Die Aufbewahrungsfrist für die Protokollierung richtet sich nach den mit dem Sozialpartner vereinbarten Regelungen. Bei fehlenden Regelungen ist von 6 Monaten auszugehen. Geeignete Verfahren zu Missbrauchserkennung und zur anlassbezogenen Auswertung sind mit dem Sozialpartner und dem Datenschutz zu vereinbaren.
Zugriffe der System-Administratoren werden nur insoweit protokolliert, dass ihre jeweiligen Anmelde-Vorgänge und die von ihnen auf den Server-Shells gestarteten Befehle erfasst werden. Alle anderen (z. B. in grafischen Konsolen gestarteten) Befehle werden nicht erfasst. Für die erfassten Befehle wird eine Historie von 1000 Befehlen aufbewahrt, die Anmelde-Vorgänge werden für die Dauer von 3 Monaten aufgehoben. Zugriffe der System-Administratoren dienen nicht der Verarbeitung oder dem aktiven Zugriff auf personenbezogener Daten, sondern der Pflege, Wartung und Aktualisierung der Server-Systeme an sich.
Zugriffe der Datenbank-Administratoren werden nur insoweit protokolliert, dass die von ihnen direkt in den Konsolen-Verwaltungsprogrammen eingegeben Befehle erfasst werden, und von diesen eine Historie von 1000 Befehlen aufbewahrt wird. Sollten grafische Verwaltungsprogramme genutzt werden, so werden die dort ausgeführten Befehle nicht erfasst. Zugriffe der Datenbank-Administratoren dienen nicht der Verarbeitung oder dem aktiven Zugriff auf personenbezogener Daten, sondern der Pflege, Wartung und Aktualisierung der Datenbanken an sich.
Für alle anderen (regulären) Nutzer, die die entsprechenden Anwendungsprogramme zur Verarbeitung der personenbezogenen Daten nutzen, wird eine Historie vorgehalten, die erfasst, welcher Nutzer wann welche Aktion ausgeführt hat, sofern diese Aktion persönliche Daten modifiziert. Die genaue Modifikation selbst wird hierbei jedoch nicht erfasst. Darüber hinaus werden noch viele weitere Aktionen protokolliert, um in der Anwendung selbst Änderungsverläufe etc. darstellen zu können.
Diese Historie wird derzeit unbegrenzt lange (spätestens jedoch bis zum jeweiligen Vertragsende mit dem jeweiligen Kunden) vorgehalten, um jederzeit den kompletten Verlauf einsehen zu können.
5 Weitergabekontrolle
In der Anlage zu §9 Satz 1 des Bundesdatenschutzgesetzes heißt es: „…zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle)“.
5.1 Allgemeine Anforderungen
5.1.1 Protokollierung jeder Übermittlung oder einer repräsentativen Auswahl
Für jedes IT-/NT-System, in dem personenbezogene Daten übermittelt werden, ist eine Protokollierung der Übermittlung notwendig. In welcher Form (vollständig oder beispielsweise beschreibend nach Art der Daten/ Sender und Empfänger) hängt im Einzelfall davon ab, ob die Protokollierung in einem vertretbaren Aufwand möglich ist, wer die Daten mit wem (Übermittlung zwischen zwei vertrauenswürdigen Instanzen?) austauscht und wie die Übermittlung stattfindet (verschlüsselt/unverschlüsselt). Die Aufbewahrungsfrist für die Protokollierung richtet sich nach den mit dem Sozialpartner vereinbarten Regelungen. Bei fehlenden Regelungen ist von 6 Monaten auszugehen. Geeignete Verfahren zu Missbrauchserkennung und zur Anlassbezogenen Auswertung sind mit dem Sozialpartner und dem Datenschutz zu vereinbaren.
Grundsätzlich werden keine Daten aus den softgarden Systemen weitergegeben. Falls dies ausnahmsweise erforderlich sein sollte, so erfolgt die Weitergabe nur auf Anfrage durch softgarden Kunden und dann werden Daten nur an dies weitergegeben. Die Anfrage muss von der Geschäftsleitung genehmigt werden und wird in diesem Zusammenhang manuell protokolliert. Das Protokoll wird 6 Monate aufbewahrt.
5.1.2 Rechtmäßigkeit der Weitergabe ins Ausland
Die Erhebung, bzw. die Verarbeitung von Daten im Ausland ist grundsätzlich nur mit vorheriger schriftlicher Genehmigung des Auftraggebers möglich. Eine Erhebung bzw. Verarbeitung von Daten im Geltungsbereich des Telekommunikationsgesetzes in Nicht-EU-Staaten ist grundsätzlich unzulässig.
softgarden gibt grundsätzlich keine Daten ins Ausland weiter.
5.1.3 Transport über Netze
Daten werden überwiegend in Netzen mit entsprechenden Protokollen ausgetauscht. Authentisierung und Verschlüsselung sowie eine geeignete Netzarchitektur sind die Maßnahmen, um das Risiko des unbefugten Kopierens und Änderns personenbezogener Daten zu reduzieren.
5.1.4 Sichere Datenübertragung zwischen Server und Client
Die Datenübertragungen zwischen Clients und Servern muss generell verschlüsselt erfolgen. Eine Umsetzungsmöglichkeit ist die Verschlüsselung der Übertragungsstrecke.
Sämtlicher Datenverkehr zwischen dem Browser (=Client) und den softgarden Servern wird SSL verschlüsselt übertragen. In Web-Oberflächen werden SSL-Zertifikate eingesetzt, die es den Anwendern ermöglichen, zu identifizieren, ob sie mit einem Server der softgarden GmbH interagieren.
Direkte Zugriffe auf Server erfolgen mittels SSH. Die Server identifizieren sich mittels ihrer jeweiligen Fingerprints – somit ist es den Administratoren möglich, zu prüfen, mit welchem Server sie interagieren.
5.1.5 Sicherung der Übertragung im Backend
Werden personenbezogene Daten innerhalb des Backends zwischen einzelnen Systemen ausgetauscht, so ist genau zu betrachten, wie die einzelnen Verbindungen gegen unbefugten Zugriff geschützt sind. Verlassen die Daten nicht den gesicherten Bereich des Rechenzentrums und kann ausgeschlossen werden, dass beispielsweise die Administratoren der Netzkomponenten die Daten abfangen können, dann kann auf die Verschlüsselung der Übertragungsstrecke bei geringem und mittlerem Schutzbedarf verzichtet werden. Daten mit hohem Schutzbedarf sind beim Transport zu verschlüsseln. Sobald die Daten über längere Strecken (beispielsweise zu einem anderen Rechenzentrum) übertragen werden, ist die Verschlüsselung des Transports zwingend notwendig.
Der Datenverkehr zwischen den Softgarden Systemen erfolgt grundsätzlich über ein VPN mit entsprechender Verschlüsselung.
5.1.6 Übertragung zu externen Systemen
Werden personenbezogene Daten zu externen Systemen übertragen, ist eine Verschlüsselung zwingend erforderlich.
Es werden keinen Daten zu externen Systemen übertragen.
5.2 Logischer Zugang zu Systemen
Um unbefugte Zugriffe auf Systeme zu minimieren, muss der logische Zugang zu den Systemen begrenzt werden. Das bedeutet, dass die möglichen Kommunikationsbeziehungen auf das notwendige Maß reduziert und kontrolliert werden müssen.
5.3 Risikominimierung durch Netzseparierung
Um das Risiko zu mindern, dass personenbezogene Daten, die zwischen IT-Systemen weitergegeben werden, auf dem Netz mitgelesen werden, müssen für diese IT-Systeme Netzsegmente gebaut werden. Solche Netzsegmente können mit Hilfe von Switches und Routern konfiguriert werden. Datenpakete, egal auf welcher Ebene, verlassen und erreichen die IT-Systeme in diesen Segmenten nur über definierte Schnittstellen, an denen weitere Maßnahmen der Weitergabekontrolle ergriffen werden können. Diese Segmentierung muss mindestens eine Trennung zwischen Frontend- und Backendsystemen vorsehen. Innerhalb des Backends wird eine sinnvolle Segmentierung ebenfalls dringend empfohlen.
Sämtliche softgarden Server liegen netztopologisch hinter entsprechenden Gateways bestehend aus Router und Firewall, der Zugriff auf die Systeme kann nur über diese erfolgen. Die Gateways lehnen Verbindungen, die aus einem nicht explizit freigeschalteten Netz kommen ab.
Der Zugriff auf die Server ist nur möglich über eine VPN Verbindung, die zwischen dem softgarden Entwicklungszentrum in Saarbrücken und dem RZ in Köln besteht. Alle anderen Verbindungen werden von der Firewall im RZ Köln abgewiesen. Der Zugriff auf die Backup Server und Speichersysteme in Berlin ist nur möglich über VPN Verbindungen zwischen Saarbrücken bzw. Köln und Berlin.
Zusätzlich zu den Firewall-Maßnahmen wird der interne Datenverkehr (z.B. die Kommunikation zw. Anwendungs- und Datenbankserver) durch eine dedizierte Netzwerk-Infrastruktur so geroutet, dass er nicht von außen ablauschbar ist.
5.4 Implementierung von Sicherheitsgangways an den Netzübergabepunkten
Die IT-/NT-Systeme, auf denen personenbezogene Daten verarbeitet werden, sind durch dem aktuellen Stand der Technik entsprechende Maßnahmen (i.d.R. Firewalls) vor unerwünschten Zugriffen oder Datenströme sowohl aus dem eigenen wie auch aus anderen Netzen zu schützen. Unabhängig davon, ob es sich um Netzwerk-/Hardware- Firewalls oder ergänzend dazu um hostbasierte Firewalls handelt, müssen diese dauerhaft aktiviert sein. Jedwede Deaktivierung oder Umgehung der Funktionen durch den Anwender muss dabei wirksam ausgeschlossen werden. Das Regelwerk muss so augesetzt werden, dass alle Kommunikationsbeziehungen außer den notwendigen automatisch geblockt werden.
Jedweder ein- und ausgehender Datenstrom wird durch eine moderne, kaskadiert aufgebaute Firewall-Lösung gefiltert, um ein hohes Maß an Datensicherheit zu erlangen. Hierbei wird zunächst der komplette Datenverkehr durch ein separat vorgelagertes Firewallsystem (z.B. IPCop, NetScreen, Cisco) vorgefiltert. Zusätzlich wird auf jedem Einzelrechner des Clusterverbundes der jeweilige Datenstrom durch eine Software-Firewall erneut gefiltert.
5.5 Härtung der Backendsysteme
Die Backendsysteme müssen nach dem Stand der Technik gehärtet werden, damit sich ein Angreifer nicht aufgrund von Schwachstellen unbefugt Zugriff auf die Systeme und Daten verschaffen kann.
Um die allgemeine Betriebssicherheit zu erhöhen, wird auf den Produktivservern ein jeweils für die Aufgaben angepasstes Linux-Betriebssystem eingesetzt. Sowohl das Betriebssystem selber als auch die darauf eingesetzte Software wird regelmäßig aktualisiert, um bekannt gewordenen Sicherheitslücken entgegen zu wirken. Hierzu werden von den softgarden Administratoren die entsprechenden security mailinglisten ständig verfolgt. Durch diesen Umstand zusammen mit der Tatsache, dass Linux im Allgemeinen weniger ein Ziel von Angriffen ist, wird die Betriebs- und Datensicherheit erneut erhöht.
6 Schnittstellen
6.1 Beschreibung aller Schnittstellen und der übermittelten personenbezogenen Datenfelder
Alle Schnittstellen zu anderen IV-Verfahren sind zu dokumentieren. Diese Dokumentation muss mindestens die folgenden Informationen beinhalten:
alle personenbezogenen Datenfelder
Richtung der Übermittlung (Import/ Export)
der jeweilige Verwendungszweck für die Übermittlung
das IV-Verfahren/ die Schnittstelle, an das die Daten exportiert werden Art der Authentisierung der Schnittstelle
Schutz der Übertragung (z.B. Verschlüsselung)
Insbesondere sind auch Import- und Exportschnittstellen aus bzw. in Dateien zu beschreiben, und wie deren Verwendung technisch oder organisatorisch geschützt wird. Auch Datenmigrationen sind entsprechend als Schnittstelle zu beschreiben.
Es werden keine personenbezogenen Daten über Schnittstellen an andere IV-Verfahren übermittelt.
6.2 Umsetzung einer Maschine-Maschine-Authentisierung
Werden personenbezogene Daten zwischen IT-/NT-Systemen ausgetauscht, dann sollte jedes System über eine eindeutige und verifizierbare elektronische Identität verfügen. Damit kann das Risiko begrenzt werden, dass nicht autorisierte Systeme stellvertretend agieren und personenbezogene Daten empfangen bzw. einen autorisierten Empfänger vortäuschen können.
7 Speicherung/Aufbewarung
7.1 Sichere Ablage von Daten
Zur sicheren Ablage personenbezogener Daten mit höchstem Schutzniveau ist eine verschlüsselte Datenablage vorzusehen. Dies gilt auch für etwaige Backups.
Sämtliche Daten inklusive Backups werden auf Festplatten, die mittels cryptofs verschlüsselt sind abgelegt.
7.2 Automatisierte Löschung temporärer Zwischenspeicher
Temporäre Zwischenspeicher (z.B. der Browsercache oder der TEMP-Ordner des Betriebssystems) sind so zu konfigurieren, dass Ihre Inhalte sofern möglich unmittelbar bei jedem Beenden oder aber spätestens beim Start der Anwendung (z.B. des Browsers) bzw. des Betriebssystems automatisiert gelöscht werden.
Die Konfiguration der Clients des Auftraggebers obliegt dem jeweiligen Auftraggeber. Die Clients die von softgarden Mitarbeitern zu Support- und Wartungszwecken genutzt werden sind so konfiguriert, daß keine personenbezogenen Daten lokal gespeichert werden.
7.3 Zugriff auf lokale Zwischenspeicher
Jeder Zugriff auf etwaige lokal abgelegte Zwischenspeicher oder Datenbanken, die Kundendaten des Auftraggebers enthalten, zu Zwecken bzw. mit Anwendungen, die der Auftraggeber nicht freigegeben (resp. – sofern einschlägig – bereitgestellt) hat, ist unzulässig und sofern möglich technisch zu verhindern.
Es werden keinerlei Kundendaten des Auftraggebers lokal auf clients bei softgarden gespeichert.
7.4 Gesicherte Speicherung auf mobilen Datenträgern
Die Speicherung auf mobilen Datenträgern ist aufgrund des hohen Verlustrisikos zu vermeiden. Sollte eine Speicherung dennoch unumgänglich sein, so sind die darauf gespeicherten Daten zu verschlüsseln. Nicht mehr benötigte Daten sind umgehend datenschutzgerecht zu löschen.
Die verwendete Hardware ist zudem gegen Verlust/Diebstahl zu schützen (Nutzung von Kabelschlössern, geeignete verschließbare Transportbehältnisse,…)
Die Verwendung von mobilen Datenträgern wie beispielsweise USB-Sticks oder CD- ROMs zur Verarbeitung oder Speicherung von Daten des Auftraggebers ist bei softgarden nicht zulässig. Die Speicherung von Daten des Auftraggebers auf Laptops o.ä. ist nicht zulässig.
Einführung eines Prozesses zur Datenträgerverwaltungen
Es muss eine qualifizierte Datenträgerverwaltung existieren. Die Verwaltung der Datenträger muss dokumentieren, wie viele Datenträger mit personenbezogenen Daten für welche Aufgaben und Verarbeitungen erstellt wurden und wo diese bis zur Vernichtung gelagert werden. Über den Bestand der Datenträger ist regelmäßig eine Bestandskontrolle durchzuführen. Eine Lagerung der erstellten Datenträger in einem kontrollierten Sicherheitsbereich ist bei personenbezogenen Daten obligatorisch. Darüber hinaus wird die Anfertigung von Kopien von Datenträgern dokumentiert und für einen Zeitraum von 12 Monate ab Beendigung des Auftrages oder der Tätigkeit aufbewahrt.
Bei softgarden werden keine physischen Datenträger zur Verarbeitung oder Speicherung von Daten der Auftraggeber verwendet. Falls ausnahmsweise auf expliziten schriftlichen Kundenwunsch Daten auf physische Datenträger kopiert werden erfolgt dies nur nach Genehmigung durch die Geschäftsleitung und wird durch diese dokumentiert. Solche Datenträger werden unmittelbar an den jeweiligen Auftraggeber verschickt, eine Aufbewahrung in den Räumen der softgarden findet grundsätzlich nicht statt.
7.5 Sichere Datenträgeraufbewahrung
Die bereitgestellten oder abgerufenen personenbezogenen Daten sind in Sicherheitsschränken, z.B. Datasafes aufzubewahren, soweit der Auftrag oder die Datenverarbeitung an sich eine Gewährleistung der Verfügbarkeit erfordert.
Es findet keine Aufbewahrung von Datenträgern statt.
8 Sicherer Versand von Daten
8.1 Einfürhung und Umsetzung von Versandvorschriften
Es existieren Verpackungs- und Versandvorschriften für den Transport von personenbezogenen Daten mittels Datenträgern. Diese Versandvorschriften orientieren sich an dem Schutzbedarf der zu übermittelnden personenbezogenen Daten. Für personenbezogene Daten ist eine Verschlüsselung der personenbezogenen Daten vor der Übermittlung obligatorisch. Ferner wird durch Arbeitsanweisung festgelegt, welche Personen befugt sind, personenbezogene Daten zu übermitteln. Die eigentliche Übermittlung wird dann im Vier-Augen-Prinzip veranlasst und dokumentiert.
Soweit Datenträger durch Transportunternehmen übermittelt werden, werden die Datenträger nur nach vorheriger Authentisierung des Transportunternehmens Deutsche Post AG, Spediteur, Kurierdienst, Taxifahrer, etc.), notfalls durch telefonische Rückversicherung beim Transportunternehmen, herausgegeben. Soweit sehr große Datenbestände transportiert werden (>250.000 Datensätze) ist eine Begleitung des Transportes obligatorisch. Die Herausgabe der Datenträger an das Transportunternehmen ist zu dokumentieren. Nach jeder Übermittlung und nach jedem Transport sind die übermittelten Datenmengen zu plausibilisieren. Zudem werden die Vollständigkeit der Datenmengen und die Integrität geprüft.
Falls in Ausnahmefällen physische Datenträger versandt werden so können fallweise zuverlässige Transportunternehmen, -fahrzeuge, -behälter und die dazugehörigen Protokolle, Begleitpapiere etc. beauftragt werden. Die Herausgabe von Daten ist durch die Geschäftsleitung zu genehmigen und wird durch diese protokolliert. Die Daten werden verschlüsselt auf dem Datenträger abgelegt. Der Empfänger der Datenträger wird angehalten den Empfang zu dokumentieren und die Integrität zu prüfen.
9 Sichere Löschung, Entsorgung und Vernichtung
9.1 Prozess zur Sammlung und Entsorgung
Ein Prozess zur Sammlung, Entsorgung/Vernichtung bzw. Löschung von Datenträgern und Informationsträgern in Papierform ist einzurichten und zu beschreiben. Dabei werden Regelungen und Verfahren zur sicheren Sammlung und internen Weitergabe sowie zu Lagerung, Transport und Vernichtung unter Berücksichtigung medientypischer Eigenarten in einer Organisationsrichtlinie/Verfahrensanweisung beschrieben. Das datenschutzgerechte Vernichten bzw. Löschen ist arbeitsplatz- und zeitnah durchzuführen, um ein Zwischenlagern der Datenträger weitgehend zu vermeiden. Dadurch wird auch der Personenkreis, der mit den Datenträgern umgeht, eingeschränkt und die Sicherheit erhöht. Alternative Entsorgungswege sind organisatorisch auszuschließen. Die Mitarbeiter sind hierfür regelmäßig zu sensibilisieren.
Bei softgarden werden keine physischen Datenträger zur Verarbeitung oder Speicherung von Daten der Auftraggeber verwendet. Daher ist kein Sammlungs- und Entsorgungsprozess notwendig.
9.2 Einführung datenschutzgerechter Lösch- und Zerstörungsverfahren
Unverschlüsselte Datenträger müssen aus Sicherheitsgründen vor deren internen Wiederverwendung (z.B. Wechsel des Hauptnutzers) oder Weitergabe an externe Stellen datenschutzgerecht gelöscht werden (siehe Annex 4). Die Formatierung ist als sicheres Löschverfahren ungeeignet. Es müssen andere sichere Lösch-/ Zerstörungsverfahren gewählt werden, die eine Rekonstruktion der Daten nur mit hohem Aufwand erlauben .
Bei softgarden werden keine physischen Datenträger zur Verarbeitung oder Speicherung von Daten der Auftraggeber verwendet. Daher ist kein Lösch- /Zerstörungsverfahren notwendig. Grundsätzlich werden bei softgarden Werkzeuge wie wipedisk oder eine Formatierung die mindestens dreifach den Datenträger mit Nullen überschreibt verwendet.
9.3 Führung von Löschprotokollen
Die vollständige, datenschutzgerechte und dauerhafte Löschung von Daten bzw. Datenträgern mit personenbezogenen Daten ist zu protokollieren. Die Protokolle sind mindestens 12 Monate revisionssicher zu archivieren.
Daten innerhalb der softgarden Systeme werden automatisiert gelöscht in Einklang mit den einschlägigen Datenschutzvorschriften. Der Löschvorgang wird systemseitig protokolliert und die Protokolle werden archiviert. Da bei softgarden keine physischen Datenträger zur Speicherung von personenbezogenen Daten verwendet werden entfällt die Notwendigkeit zur Führung von Löschprotokollen für diese.
10 Eingabekontrolle
In der Anlage zu §9 Satz 1 des Bundesdatenschutzgesetzes heißt es: “… zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungs-systeme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle)“.
10.1 Grundsätzliche Anforderungen
10.1.1 Dokumentation der Eingabeberechtigungen
Es existiert eine Dokumentation, welche Person aufgrund ihrer Aufgabenstellung befugt und verantwortlich ist, Eingaben in der Datenverarbeitungsanlage vorzunehmen.
Zugriffe durch Mitarbeiter der softgarden auf personenbezogene Daten der Kunden werden bereits im Vertrag festgehalten. Dies sind in der Regel Zugriffe aus den Gründen
Support
Datenbank-Administration / Backup / Restore Systempflege
Darüber hinausgehende Zugriffe auf die Daten gibt es regelmäßig nicht. Die zu diesen Zugriffen zugelassenen Benutzergruppen sind im Vorfeld mit den Kunden abgestimmt. Änderungen hieran werden protokolliert in Abstimmung mit der Geschäftsführung und den Kunden ITIL-konform durchgeführt. Zugriffe auf die Daten durch dazu berechtigte Nutzer des Kunden werden durch den Kunden entweder selbst, oder über eine im jeweiligen Vertrag definierte Vorgehensweise durch die softgarden eingerichtet und freigegeben. Sollte dies nicht anders definiert sein, so ist dies im Regelfall eine gemäß ITIL protokollierte Änderung, die durch den uns benannten Ansprechpartner auf Seiten des Kunden freigegeben wird. Zugriffe werden getrennt nach Ihren Berechtigungen auf Betriebssystemebene, Datenbankebene oder Anwendungs-Ebene. Innerhalb der Anwendungs-Ebene gibt es verschiedene Nutzer-Rollen und –Gruppen, die jeweils mit den Kunden abgestimmt werden. Hier können sowohl Kundenbenutzer, als auch Mitarbeiter der softgarden Zugriff bekommen. Zugriffe auf Datenbankebene oder Betriebssystem-Ebene sind nur möglich durch Mitarbeiter der softgarden, nicht jedoch durch Kundenbenutzer. Die Zugriffsberechtigungen werden durch die Geschäftsführung erteilt oder entzogen, dies wird entsprechend dokumentiert. Zugriffe auf Datenbankebene werden zum Support, Pflege, Wartung, Backup, Restore o.ä. benötigt. Die hierzu berechtigten Personen sind wie oben aufgeführt mit den Kunden abgestimmt. Zugriffe auf Betriebssystemebene dienen ausschließlich der Wartung, Pflege, Problembehebung, Backup, Restore oder dazu sinnverwandten Arbeitsaufgaben. Die hierzu berechtigten Personen sind wie oben aufgeführt mit den Kunden abgestimmt. Zugriffsberechtigungen werden spätestens mit Ausscheiden aus der softgarden entzogen.
10.1.2 Protokollierung der Eingaben
Die Eingaben in die Datenverarbeitungsanlage werden protokolliert. Die Protokolle sind für einen Zeitraum von 12 Monaten aufzubewahren.
Zugriffe der System-Administratoren werden nur insoweit protokolliert, dass ihre jeweiligen Anmelde-Vorgänge und die von ihnen auf den Server-Shells gestarteten Befehle erfasst werden. Alle anderen (z. B. in grafischen Konsolen gestarteten) Befehle werden nicht erfasst. Für die erfassten Befehle wird eine Historie von 1000 Befehlen aufbewahrt, die Anmelde-Vorgänge werden für die Dauer von 3 Monaten aufgehoben. Zugriffe der System-Administratoren dienen nicht der Verarbeitung oder dem aktiven Zugriff auf personenbezogener Daten, sondern der Pflege, Wartung und Aktualisierung der Server-Systeme an sich.
Zugriffe der Datenbank-Administratoren werden nur insoweit protokolliert, dass die von ihnen direkt in den Konsolen-Verwaltungsprogrammen eingegeben Befehle erfasst werden, und von diesen eine Historie von 1000 Befehlen aufbewahrt wird. Sollten grafische Verwaltungsprogramme genutzt werden, so werden die dort ausgeführten Befehle nicht erfasst. Zugriffe der Datenbank-Administratoren dienen nicht der Verarbeitung oder dem aktiven Zugriff auf personenbezogener Daten, sondern der Pflege, Wartung und Aktualisierung der Datenbanken an sich.
Für alle anderen (regulären) Nutzer, die die entsprechenden Anwendungsprogramme zur Verarbeitung der personenbezogenen Daten nutzen, wird eine Historie vorgehalten, die erfasst, welcher Nutzer wann welche Aktion ausgeführt hat, sofern diese Aktion persönliche Daten modifiziert. Die genaue Modifikation selbst wird hierbei jedoch nicht erfasst. Darüber hinaus werden noch viele weitere Aktionen protokolliert, um in der Anwendung selbst Änderungsverläufe etc. darstellen zu können. Diese Historie wird derzeit unbegrenzt lange (spätestens jedoch bis zum jeweiligen Vertragsende mit dem jeweiligen Kunden) vorgehalten, um jederzeit den kompletten Verlauf einsehen zu können.
11 Auftragskontrolle
In der Anlage zu §9 Satz 1 des Bundesdatenschutzgesetzes heißt es: „…zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle)“.
11.1 Grundsätzliche Anforderungen
11.1.1 Weisungserteilung und -entgegennahme
Die auf Seiten des Auftragnehmers zur Entgegennahme und Ausführung von Weisungen des Auftraggebers befugten Personen sind durch den Auftragnehmer verbindlich zu spezifizieren und z.B. in einer Weisungsmatrix zu dokumentieren. Der Auftragnehmer teilt dem Auftraggeber die zur Entgegennahme von Weisungen befugten Personen nach Auftragserteilung sowie im Falle von Änderungen umgehend mit. Sie haben sich bei der Entgegennahme von Weisungen bzw. bei der Ausübung ihrer Befugnisse gegenüber den beim Auftraggeber zuständigen Stellen zu legitimieren.
Zugriffe durch Mitarbeiter der softgarden auf personenbezogene Daten der Kunden werden bereits im Vertrag festgehalten. Die zu diesen Zugriffen zugelassenen Benutzergruppen sind im Vorfeld mit den Kunden abgestimmt. Änderungen hieran werden protokolliert in Abstimmung mit der Geschäftsführung und den Kunden ITIL- konform durchgeführt. Zugriffe auf die Daten durch dazu berechtigte Nutzer des Kunden werden durch den Kunden entweder selbst, oder über eine im jeweiligen Vertrag definierte Vorgehensweise durch die softgarden eingerichtet und freigegeben. Sollte dies nicht anders definiert sein, so ist dies im Regelfall eine gemäß ITIL protokollierte Änderung, die durch den uns benannten Ansprechpartner auf Seiten des Kunden freigegeben wird. Befugnisse werden spätestens mit Ausscheiden aus der softgarden entzogen.
11.1.2 Regelungen/Beschränkungen der Auftragsausführung
Es dürfen nur die Arbeiten durchgeführt werden, die in der zu erstellenden Leistungsbeschreibung enthalten sind. Alle darüber hinaus gehenden Arbeitsschritte müssen vorher dezidiert mit der zuständigen Stelle auf Seiten des Auftraggebers abgesprochen und schriftlich freigegeben werden. Der Auftragnehmer stimmt den terminlichen Ablauf der Auftragsausführung vorab mit dem Auftraggeber ab.
Der Auftragnehmer informiert den Auftraggeber unverzüglich über Fälle von schwerwiegenden Betriebsstörungen, bei Verdacht auf Datenschutzverletzungen, wenn Fehler festgestellt werden oder anderen Unregelmäßigkeiten beim Umgang mit Daten des Auftraggebers. Der Auftragnehmer wird diese unverzüglich beheben.
Bei Beendigung des Auftragsverhältnisses muss eine geregelte Übergabe der Arbeitsergebnisse und der erhaltenen Daten, Unterlagen und Betriebsmittel erfolgen.
Grundsätzlich werden Arbeiten nur nach vorheriger schriftlicher Auftragserteilung durchgeführt. In der Auftragserteilung sind die zu erledigenden Arbeiten beschrieben.
Im Falle von Betriebsstörungen jeglicher Art werden die Auftraggeber durch softgarden unverzüglich informiert.
11.1.3 Protokollierung der Auftragsausführung durch den Auftragnehmer
Es muss jederzeit durch eine geeignete Dokumentation die lückenlose Nachvollziehbarkeit der einzelnen im Rahmen der Auftragsausführung erforderlichen Arbeitsschritte gewährleistet sein und auf Anforderung belegt werden können, dass der jeweilige Auftrag strikt nach den Weisungen des Auftraggebers durchgeführt wurde (Mindestangaben: Auftraggeber/Kunde, Aktion/Teilauftrag, genaue Spezifikation der Verarbeitungsschritte/-parameter, Bearbeiter, Termine, ggf. Empfänger). Aufträge werden als JIRA Ticket erfasst, dort dokumentieren die Entwickler die durchgeführten Arbeiten. Es gibt eine eindeutige Zuordnung zwischen JIRA Ticket Nummer und Kundenauftrag. Damit ist sichergestellt, daß jederzeit ersichtlich ist, auf Basis welchen Kundenauftrags welche Systemänderung durch wen durchgeführt wurde.
12 Verfügbarkeitskontrolle
In der Anlage zu §9 Satz 1 des Bundesdatenschutzgesetzes heißt es: „…zu gewährleisten, dass personen-bezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle)“.
21.1 Backup-Konzept
Um die Verfügbarkeit der Daten auch im Notfall sicherzustellen, müssen die Daten regelmäßig gesichert werden. Zu diesem Zweck muss ein Backup-Konzept erstellt werden, dass einen befugten Mitarbeiter in die Lage versetzt, sämtliche Mittel für die Wiederherstellung der Daten so zu nutzen, dass die Daten nach einem Vorfall in angemessener Zeit wieder zur Verfügung stehen.
Durch den Ansatz der zentralen Datenhaltung können verschiedene Backupstrategien angewandt werden. Im Bereich der Datenbank wird sowohl eine mehrfach redundante Replikation im Master-/Slave-Betrieb vorgenommen, als auch ein tägliches Backup auf externe Datenträger durchgeführt. Dies ermöglicht beim Ausfall des Datenbank- Masters ein schnelles Failover auf einen entsprechenden Slave-Server, ohne Datenverluste hinnehmen zu müssen. Im Falle eines Anwendungs- oder Anwenderfehlers und einem damit verbundenem Datenverlust kann auf mehrere Backups der Datenbank zurückgegriffen werden. Auch die anderen Clustersysteme werden mittels eines täglichen Backups gesichert, um bei einem möglichen Hardware- Ausfall oder einer möglichen sonstigen Veränderung der Daten mittels einfacher Recovery-Strategien die Funktionsweise des entsprechenden Systems wieder herstellen zu können.
12.2 Disaster-Recovery
12.2.1 Notfallplan
Der Auftraggeber ist über jede Störung (z.B. vorsätzlicher Angriff intern/extern) und Außerbetriebnahme der Datenverarbeitung schnellstmöglich zu informieren. Liegen Anzeichen für eine Störung vor, ist für die Schadensminimierung und weitere Schadensabwehr sofortiges Handeln notwendig. Hierzu ist ein Notfallplan zu erstellen, in dem die einzuleitenden Schritte aufgeführt werden und festgelegt wird, welche Personen, insb. auch auf Seite des Auftraggebers, über den Vorfall zu unterrichten sind.
Im Falle einer Störung werden die entsprechenden Ansprechpartner auf Seiten des Auftraggebers unverzüglich informiert. Die Ansprechpartner sind in den Verträgen mit den softgarden Kunden dokumentiert und werden bei Änderung entsprechend aktualisiert.
12.2.2 Aufbewahrung der Backups
Eine Lagerung von Datensicherungen hat in feuer- und wassergeschützten Datensicherheitsschränken stattzufinden.
Bei softgarden werden keine Datensicherungen auf physischen Datenträgern wie Tapes oder CD-ROMs vorgenommen, es existieren verteilte Online Backups. Daher entfällt die Lagerung von Datensicherungen.
12.2.3 Prüfung der Notfalleinrichtungen
Es hat eine regelmäßige Prüfung von Notstromaggregaten und Überspannungsschutzeinrichtungen sowie eine permanente Überwachung der Betriebsparameter stattzufinden.
Dies Prüfung wird durch das von softgarden beauftragte zertifizierte Rechenzentrum durchgeführt.
13 Verwendungszweckkontrolle
In der Anlage zu §9 Satz 1 des Bundesdatenschutzgesetzes heißt es: „… zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können“.
13.1 Grundsätzliche Anforderungen
13.1.1 Sparsamkeit bei der Datenerhebung
Es dürfen nur solche Daten erhoben, gespeichert oder verarbeitet werden, die zur Erfüllung der Aufgabe oder Durchführung des Prozesses mindestens notwendig sind.
Die Entscheidung welche Daten erhoben werden obliegt dem Auftraggeber.
13.1.2 Getrennte Verarbeitung
Regelungen und Maßnahmen zur Sicherstellung der getrennten Verarbeitung (Speicherung, Veränderung, Löschung und Übertragung etc.) und/oder Lagerung von Daten und/oder Datenträgern mit unterschiedlichen Vertragszwecken sind zu dokumentieren und anzuwenden.
Die personenbezogenen Daten der jeweiligen Auftraggeber werden komplett getrennt voneinander verarbeitet und eindeutigen logischen, voneinander abgeschotteten virtuellen Maschinen zugeordnet.
14 Organisationskontrolle
14.1. Grundsätzliche Anforderungen
14.1.1 Prozessdefinition /-kontrolle
Für die Verarbeitung von Daten im Unternehmen müssen Prozesse und Arbeitsabläufe definiert sein. Die Umsetzung und Einhaltung der Prozesse ist zu kontrollieren.
Es sind entsprechende Prozesse dokumentiert. Die Einhaltung wird durch den Entwicklungsleiter und die Geschäftsführung kontrolliert.
14.1.2 Schulung/Verpflichtung
Alle Personen, die für Ihr Unternehmen nicht nur zufällig mit personenbezogenen Daten umgehen oder sonst an der Auftragsdurchführung beteiligt sind (z.B. sofern vereinbart Wartungsunternehmen, Datenvernichter), sind nachweislich zu folgenden Themenkomplexen zu unterweisen:
Grundsätze des Datenschutzes, einschließlich den technisch-organisatorischen Maßnahmen
Pflicht zur Verschwiegenheit über Betriebs- und Geschäftsgeheimnisse einschließlich Vorgängen des Auftraggebers
Ordnungsgemäßer und sorgfältiger Umgang mit Daten, Dateien, Datenträgern und sonstigen Unterlagen
Fernmeldegeheimnis (Verpflichtung nach §88 TKG)
Verpflichtung auf das Datengeheimnis nach §5 BDSG (schriftlich)
soweit erforderlich spezielle weitere Verschwiegenheitspflichten
soweit erforderlich spezielle Hinweise, die sich aus der vertraglichen Vereinbarung und dem vorliegenden Katalog der Mindestvorgaben ergeben können. Die Unterweisung hat durch geeignete und dem Auftrag angemessene Maßnahmen zu erfolgen und ist mindestens alle drei Jahre, bei Bedarf (z.B. Änderung der Auftragsumstände oder gesetzlicher Bestimmungen) jedoch auch in kürzeren Abständen, zu wiederholen.
Sämtliche Mitarbeiter von softgarden werden entsprechend unterwiesen und bestätigen dies durch Unterschrift. Gleiches gilt für die Verpflichtungen.
14.1.3 Schulung/Verpflichtung Betriebsfremder
Die Regelungen für Firmenfremde, z.B. Wartungs- oder Reinigungspersonal, für den Zugang zu Räumlichkeiten in denen sich Datenverarbeitungsanlagen befinden, müssen eingehalten werden. Firmenfremde erhalten erst dann Zugang zu den Räumlichkeiten, wenn diese schriftlich auf das Daten- und ggf. auch auf das Fernmeldegeheimnis bzw. weitere Verschwiegenheitsverpflichtungen verpflichtet und geschult wurden, bevor diese Räumlichkeiten betreten in denen Datenverarbeitungsanlagen in Betrieb oder betriebsbereit sind. Firmenfremde im Sinne dieser Anforderung sind Personen, die – soweit überhaupt – bei Gelegenheit oder zufällig mit DV Anlagen bzw. mit Daten in Berührung kommen. Subunternehmer bzw. Personen, die im Rahmen in Tätigkeit gezielt oder typischerweise mit DV Anlagen bzw. Daten in Berührung kommen, sind zuvor entsprechend der Regelungen der „Vereinbarung zur Verarbeitung personenbezogener Daten im Auftrag“ zum Subpartnereinsatz zu verpflichten.
Keine Firmenfremden kommen mit Datenverarbeitungsanlagen auf denen Kundendaten gespeichert werden in Berührung.
14.1.4 Interne Aufgabenverteilung
Die im Zusammenhang mit der Leistungserbringung bzw. dem DV/IT-Einsatz wahrzunehmenden Funktionen sind festzulegen. Grundsätzlich zu unterscheiden sind hier zwei Ebenen:
Die erste Ebene besteht aus den Funktionen, die die Leistungserbringung bzw. den IT- Einsatz ermöglichen oder unterstützen (z.B. Arbeitsvorbereitung, Datennachbereitung, Operating, Programmierung, Netzadministration, Rechteverwaltung, Revision, …). Die zweite Ebene besteht aus den Funktionen, die die zur Leistungserbringung bzw. Aufgabenerfüllung bereitstehenden IT-Verfahren anwenden (z.B. Fachverantwortlicher, IT-Anwendungsbetreuer, Datenerfasser, Sachbearbeiter, Zahlungsanordnungsbefugter,…).
Funktionen der ersten und zweiten Ebene dürfen nicht von einer Person wahrgenommen werden.
Diese strikte Trennung ist aufgrund der Größe von softgarden nicht möglich. Es wird jedoch soweit praktisch umsetzbar auf das Vier-Augen-Prinzip zurückgegriffen.
14.1.5 Funktionstrennung und -zuordnung
Im nächsten Schritt ist die Funktionstrennung festzulegen, zu dokumentieren und zu begründen, d.h. welche Funktionen nicht miteinander vereinbar sind, also nicht von einer Person gleichzeitig wahrgenommen werden dürfen. Vorgaben hierfür ergeben sich aus den Aufgaben selbst, den Anforderungen dieser Vereinbarung (insb. dem Katalog der Mindestvorgaben sowie ergänzender Standards) und aus gesetzlichen Bestimmungen. Grundsätzlich sind dabei operative Funktionen nicht mit kontrollierenden Funktionen vereinbar. Nach der Festlegung der einzuhaltenden Funktionstrennung erfolgt Zuordnung der Funktionen zu Personen.
Generell werden kontrollierende Funktionen durch die Geschäftsleitung wahrgenommen, operative Funktionen durch die Mitarbeiter.
14.1.6 Vertreterregelung
Im Rahmen der Aufgaben- und Funktionsverteilung sind Vertreterregelungen zu berücksichtigen und zu dokumentieren. Der Vertreter darf die erforderlichen Zutritts-, Zugangs und Zugriffsberechtigungen nur im Vertretungsfall erhalten.
Vertreterregelungen erfolgen innerhalb der Funktionsgruppen, d.h. die Geschäftsleitung vertritt sich gegenseitig, ebenso die Administratoren, Entwickler, etc.
15 Protokollierung
15.1 Interne Audits
Durch interne Auditierung beim Auftragnehmer wird sichergestellt, dass die Protokolle der Zugriffe auf die personenbezogenen Daten regelmäßig, spätestens jedoch alle zwei Monate, ausgewertet werden. Unregelmäßigkeiten werden dokumentiert, dem Auftraggeber unverzüglich schriftlich mitgeteilt und für einen Zeitraum von 12 Monaten ab Beendigung des Auftrages oder der Tätigkeit aufbewahrt.
Die interne Auditierung wird durch die Geschäftsleitung wahrgenommen, wobei hierbei darauf geachtet wird, daß sich kein Mitglied der Geschäftsleitung selbst kontrolliert.
