Kontakt

Sicherheit bei der Auftragsdatenverarbeitung

Darstellung der technischen und organisatorischen Maßnahmen bei einer Auftragsverarbeitung gemäß Art. 28 DS-GVO durch //SEIBERT/MEDIA

Offene Fragen?
rafiki
Inhaltsübersicht

Vertraulichkeit

Zutrittskontrolle

Folgende Maßnahmen verwehren Unbefugten den Zutritt zu den Büroräumen, in denen personenbezogene Daten verarbeitet, genutzt oder gespeichert werden:

 

Technische Maßnahmen
  • Alarmanlage (gilt für Standorte Luisenstraße 37-39 (Headquater), Luisenforum/Kirchgasse 6, und Tower/Kirchgasse 2)
  • Chipkarten/Transpondersystem
    • RFID-basiertes Zutrittskontrollsystem für den Zutritt aller Mitarbeiter*innen zu den Büroflächen (alle Standorte)
    • RFID-basiertes Zutrittskontrollsystem für den Zutritt in den Server-Raum, das Personal-Büro und das Archiv beschränkt auf bestimmte Mitarbeiter*innen (Need-to-Know-Prinzip)
  • Türen mit Knauf Außenseite
  • Videoüberwachung der Eingänge zu den Büroflächen
 
Organisatorische Maßnahmen
  • Empfang am Standort Luisenstraße 37-39 (Headquarter), Besetzung zu Geschäftszeiten 9-17 Uhr
  • Protokollierung der Besucher:innen in Besucherliste durch den Empfang
  • Besucher:innen werden in den durch das Transpondersystem geschützten Bereichen von Mitarbeiter:innen begleitet
  • Umgang mit Besucher*innen wird in einer Besucherrichtlinie explizit geregelt
  • Zentrales Netzwerk-Equipment in abgeschlossenen Schränken
  • Verwahrung mobiler Geräte im Büro in abschließbaren Schränken und Tresoren
  • Sorgfalt bei der Auswahl des Reinigungsdienstes
    Sorgfalt bei der Auswahl von sämtlichen Dienstleistern und Lieferanten, welche Zutritt zu den Büroflächen erhalten sowie Begleitung dieser durch Mitarbeiter:innen
  • Sicherheitsdienst am Standort Luisenforum/Kirchgasse 6 (Headquarter)
    • außerhalb der Öffnungszeiten des Luisenforums patrouilliert der Sicherheitsdienst
    • Zugang zu den Büroräumen dann nur in Begleitung des Sicherheitsdienstes möglich

 

Zugangskontrolle

Folgende Maßnahmen verhindern, dass Anlagen von Unbefugten genutzt werden können:

 
Technische Maßnahmen
  • Login mit Benutzername und Passwort
  • Zentrale Passwortvergabe: Passwörter werden von einer IT-Software nach festgelegten Kriterien (Vorgabe Länge und Komplexität) generiert
  • Zwei-Faktor-Authentifizierung für Google-Workspace und darüber authentifizierte Anwendungen
  • Zentrale, softwaregestützte Kennwortverwaltung mit Zugriffshistorie
  • Zugriff auf Serversysteme nur mit persönlicher passwortgeschützter Schlüsseldatei über eine verschlüsselte Verbindung mittels SSH (Secure Shell)
  • Betrieb von Firewallsoftware auf jedem Serversystem
  • Mobile Device Management
  • Einsatz einer verschlüsselten VPN-Verbindung bei Remote-Zugriffen
  • Verschlüsselung von Datenträgern, insb. Notebooks und Smartphones sowie Backup-Datenträgern
  • Flächendeckender Einsatz von Encryption at Rest
  • Automatische Desktopsperre
  • Biometrische Zugangssperre für den Zugang zu Tresoren (Fingerabdruckscanner)
 
Organisatorische Maßnahmen
  • Verwalten von Benutzerberechtigungen auf Basis der Notwendigkeit und eindeutige Zuordnung von Benutzerkonten zu Benutzer:innen
  • Dokumentierter und checklistenbasierter Ablauf für das Anlegen und Sperren von neuen/ausscheidenden Mitarbeiter:innen (On-/Offboarding) bzw. die Anpassung von Berechtigungen im Falle eines Rollen und/oder Teamwechsels (Changeboarding)
  • Regelmäßige Überprüfung der Benutzerberechtigungen auf deren weitere Erforderlichkeit
  • Jährlicher Passwortwechsel wird sichergestellt
  • Elektronische Schlüssel für den Remote-Zugang sind eindeutig autorisierten Benutzern zugeordnet
  • Softwaretechnische Steuerung, mit welchen Schlüsseln auf die Serversysteme zugegriffen werden kann
  • Passwort-Richtlinie zur sicheren Wahl und dem ordnungsgemäßen Umgang mit Passwörtern
  • Richtlinie zum Umgang mit personenbezogenen Daten
  • Richtlinie zur Nutzung von mobilen Datenträgern

 

Zugriffskontrolle

Folgende Maßnahmen gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:

 
Technische Maßnahmen
  • Aktenvernichtung nach DIN 66399 (Sicherheitsstufe 3)
  • Physische Löschung von Datenträgern durch qualifizierte Dienstleister
  • Zentrale Protokollierung von Zugriffen und Systemereignissen
 
Organisatorische Maßnahmen
  • Einsatz eines Berechtigungskonzeptes
  • Verwaltung der Benutzerrechte durch Administratoren
  • Prozess auf Basis diverser Checklisten zur Vergabe und zum Entzug von Rechten bei Eintritt in und Austritt aus dem Unternehmen sowie im Rahmen von Rollen-/Teamwechseln

 

Trennungskontrolle

Folgende Maßnahmen gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:

 
Technische Maßnahmen
  • Trennung von Produktiv- und Testsystem durch unterschiedliche virtuelle Maschinen
  • Abschottung unabhängiger Systeme durch VLANs, Firewalling und virtuelle Maschinen mit jeweils eigenen Datenbanken
 
Organisatorische Maßnahmen
  • Steuerung über ein Berechtigungskonzept

Integrität

Weitergabekontrolle

Folgende Maßnahmen gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist:

 
Technische Maßnahmen
  • Einsatz von Verschlüsselungen bei Web-Übertragung (flächendeckender Einsatz von HTTPS und VPN)
  • Zentrale Protokollierung von Zugriffen und Systemereignissen
  • Sichere Transportbehälter bei Aktenvernichtung von Dokumenten mit personenbezogenen Daten
 
Organisatorische Maßnahmen
  • Weitergabe in anonymisierter oder pseudonymisierter Form, wenn möglich, bzw. erforderlich
  • Sorgfalt bei der Auswahl von Transportdienstleistern
  • Einsatz von verschlüsselten Datenträgern beim physischen Transport (dieser wird soweit möglich vermieden)

 

Eingabekontrolle

Folgende Maßnahmen gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:

 
Technische Maßnahmen
  • Zentrale Protokollierung von Zugriffen und Systemereignissen
  • Nutzung der Versionierungsfunktionen in den verschiedenen Anwendungen zur Protokollierung von Änderungen

Verfügbarkeit und Belastbarkeit

Verfügbarkeitskontrolle

Folgende Maßnahmen gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:

 
Technische Maßnahmen
  • Feuer- und Rauchmeldeanlagen
  • RAID-System
  • Stündliche Snapshots innerhalb des Kundensystems und tägliche Backups auf entfernten Storage-Systemen: https://seibert.biz/backupkonzept
  • Getrennte Partitionen für Betriebssysteme und Daten zur Begrenzung von Ausfällen beim Überschreiten von Storagekapazitäten
  • Monitoring in Bezug auf die Verfügbarkeit von Anwendungen, Diensten und IT-Systeme
  • Redundante Auslegung kritischer Systeme
 
Organisatorische Maßnahmen

  • Einsatz von ISO 27001 zertifizierten IaaS-Dienstleistern für den ausfallsicheren Betrieb der Kundensysteme

  • Backup- und Recovery-Konzept: https://seibert.biz/backupkonzept
  • Regelmäßige Tests zur Datenwiederherstellung
  • Betrieb von Produktivsystemen und Backup-Servern in unterschiedlichen, geographisch getrennten Rechenzentren oder Verfügbarkeitszonen
  • Dokumentiertes Vorgehen im Notfall auf Basis eines Business-Continuity-Management (BCM)-Handbuchs

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Datenschutz-Maßnahmen

 
Organisatorische Maßnahmen
  • Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter:innen nach Bedarf/Berechtigungen
  • Jährliche Überprüfung und Evaluierung der technischen und organisatorischen Maßnahmen
  • Externer Datenschutzbeauftragter und interner Informationssicherheitsbeauftragter
  • Verpflichtung der Mitarbeiter:innen auf Daten- (Art. 32 Abs. 4 DS-GVO), Fernmelde- und Geschäftsgeheimnis
  • Regelmäßige Sensibilisierung der Mitarbeiter:innen in Schulungen und mindestens 2-jährlich stattfindenden, persönlichen Sensibilisierungen zum Thema IT-Sicherheit
  • Unternehmensweites Datenschutzkonzept sowie Leitlinie zur Informationssicherheit
  • Richtlinie zum Umgang mit personenbezogenen Daten
  • Softwaregestützte Verwaltung von Datenschutzverträgen (AVVs) und deren Anforderungen
  • Datenschutz-Folgenabschätzung wird bei Bedarf durchgeführt
  • Die Organisation kommt den Informationspflichten nach Art. 13 und 14 DSGVO nach

 

Incident-Response-Management

 
Technische Maßnahmen
  • Einsatz von Firewall und regelmäßige Aktualisierung
  • Einsatz von Virenscannern auf Kundensystemen
  • Einsatz von Monitoring zur Erkennung von fremden Prozessen auf Serversystemen
 
Organisatorische Maßnahmen
  • Dokumentierter Prozess zur Meldung zum Umgang von Sicherheits- und Datenschutzvorfällen (auch im Hinblick auf Meldepflicht gegenüber Aufsichtsbehörde)
  • Einbindung von DSB und ISB in Sicherheits- und Datenschutzvorfällen
  • Dokumentation von Sicherheits- und Datenschutzvorfällen via Ticket-System und Wiki
  • Formaler Prozess und Verantwortlichkeiten zur Nachbearbeitung von Sicherheits- und Datenschutzvorfällen

 

Auftragskontrolle (Outsourcing an Dritte)

Folgende Maßnahmen gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftragsgebers verarbeitet werden können:

 
Organisatorische Maßnahmen
  • Vorherige Prüfung der vom Subunternehmer getroffenen Sicherheitsmaßnahmen und deren Dokumentation
  • Prüfung und Sicherstellung der mit den Kunden vereinbarten Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit bei beauftragten Subunternehmen.
  • Abschluss der notwendigen Vereinbarung zur Auftragsverarbeitung bzw. EU-Standardvertragsklauseln
  • Weisungen an Subunternehmen werden in Form von E-Mails dokumentiert
  • Vereinbarung wirksamer Kontrollrechte gegenüber dem Subunternehmer

Weitere technische Maßnahmen

  • Dokumentierte Löschung von Kundendaten, auf Wunsch des Kunden nach BSI-Vorgaben
  • Regelmäßiges Einspielen von Updates für alle Betriebssysteme und Anwendungen
    • Betriebssystem-Updates wöchentlich
    • interne Anwendungen der Seibert Group monatlich bei Verfügbarkeit
    • für Kunden betriebene Anwendungen
    • außerplanmäßig bei bekannten Sicherheitslücken
  • Detailliertes Monitoring aller Serversysteme zur Erkennung von Störungen: https://seibert.biz/monitoring

 

Stand 11/2023

Weitere Themen im Trust Center

startseite 1 1

Backup-Konzept
startseite 2 1

Monitoring-Konzept
startseite 3 1

Leitlinie zur Informationssicherheit
Zum Trunst Center
Group 169777

Sicherer Betrieb für eure Atlassian-Applikationen

Wir stellen eine leistungsfähige, stabile und sichere Betriebsumgebung für eure Atlassian-Tools zur Verfügung. Durch die Auswahl eures präferierten Hosting Providers und der Betriebsart erhaltet ihr ein auf eure Bedürfnisse zugeschnittenes Hosting-Angebot.

Zu den Hosting-Optionen

Das könnte dich auch interessieren

Werde sicher im Umgang mit Confluence Data Center – Lernpfade in der Seibert Academy

18. April 2024

Werde sicher im Umgang mit Confluence Data Center
Lernpfade in der Seibert Academy
Social Media Jira Work Management back to Basics im Projektmanagement

16. April 2024

Wie Jira Work Management die Basics des Projektmanagements unterstützt
Projekte, die ebenso effizient wie effektiv durchgeführt werden können – das ist mit Jira Work Management kein Problem.
Projektadministration in Jira leicht gemacht – Lernpfade in der Seibert Academy

11. April 2024

Projektadministration in Jira leicht gemacht
Lernpfade in der Seibert Academy
Mehr im Blog lesen