Versionen im Vergleich

Alte Version 35

changes.mady.by.user Fabian Wolf

Gespeichert am

verglichen mit

Neue Version 36

changes.mady.by.user Fabian Wolf

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...

Die Zugänge zu unseren Räumlichkeiten, sowie der Bereich vor dem Serverraum werden von einem Videoüberwachungssystem des Herstellers Axis 24 Stunden am Tag überwacht. Mit mindestens Full-HD-Auflösung (1920x1080px) und 15 Bildern pro Sekunde werden alle Bewegungen aufgezeichnet, wobei eine tatsächliche Aufzeichnung/Speicherung bei Bewegungen innerhalb definierter Bereiche stattfindet. Bei Dunkelheit wird automatisch eine Infrarotbeleuchtung aktiviert. Nächtliche Bewegungen lösen einen Alarm aus. Die Aufzeichnungen werden sowohl lokal, für die Dauer von vier Tagen, als auch an einem externen Standort, für eine Dauer von mindestens 30 21 Tagen aufbewahrt. Die Aufzeichnungen dienen der Gefahrenabwehr, nicht der Zeiterfassung oder Mitarbeiterkontrolle.

...

In den Büro- und Präsentationsräumen öffentlich zugängliche Netzwerkports sind mit RJ45-Port-Blockern gegen unberechtigte Nutzung physikalisch gesichert. Netzwerkkabel zwischen berechtigten nicht-mobilen Endgeräten und Netzwerkdosen sind mit RJ45-Secure-Clips gegen unberechtigtes Abziehen gesichert.
In den Büro- und Präsentationsräumen öffentlich zugängliche USB-A-Ports sind mit USB-Port-Blockern gegen unberechtigte Nutzung physikalisch gesichert.
Schlüssel zum Öffnen von Port-Blockern und Secure-Clips stehen berechtigtem Personal zur Anbringung an einem einen Schlüsselbund zur Verfügung.

...

Für die Active Directory Benutzer-Authentifizierung werden individuelle Benutzerpasswörter mit mindestens 11 Zeichen verwendet, die Groß-/Kleinbuchstaben und Zahlen enthalten müssen. Die Verwendung von Sonderzeichen ist optional. Mitarbeiter sind aufgefordert, ihre individuellen Benutzerpasswörter nicht mehrfach zu verwenden. Für Windows-Anmeldungen darf Windows Hello (Anmeldung mittels biometrischer Merkmale, wie Fingerabdruck, Gesichts- oder Iriserkennung) verwendet werden. Zusätzlich ist für administrative Accounts ein weiterer Authentifizierungsfaktor (Microsoft Authenticator App) erforderlich. Für besonders sensible Bereiche werden zusätzlich Benutzerzertifikate und/oder DATEV mIDentity USB-Sticks des Herstellers KOBIL Systems zur Authentifizierung verwendet (Drei-Faktor Authentifizierung). Die Umsetzung dieser Anforderungen wird per Active Directory Gruppenrichtlinie durchgesetzt. Eine Drei-Faktor Authentifizierung stellt keinen garantierten Mindestschutzumfang dar – die Zwei-Faktor Authentifizierung hingegen schon.

Für mobile Geräte und Arbeitsplatz-PCs (Client-Systeme) zugelassene Hersteller sind: HP, Microsoft, Lenovo, Apple. Die Geräte müssen über ein Trusted Platform Module (TPM) zur Speicherung sensibler Schlüssel und Gewährleistung der Systemintegrität verfügen. Alle Windows Systeme müssen UEFI Secure Boot verwenden.

...

Client-Systeme müssen mit einer Laufwerksverschlüsselung (BitLocker oder FileVault) gesichert sein. Dies wird außerdem per Richtlinie beim Domänenbeitritt durchgesetzt. Die Schlüssel für die Laufwerksverschlüsselung werden zentral in Azure AD gespeichert.

Client-Systeme müssen bei Verlassen des Arbeitsplatzes gesperrt werden. Eine automatische Sperrung muß zudem nach längerer Inaktivität erfolgen.

...

  1. Client-/Arbeitsplatznetzwerk
  2. Scanner und Drucker
  3. Voice
  4. Videoüberwachung und Gebäudeautomatisierung
  5. Server und IT-Infrastruktur
  6. DMZ
  7. Lab/Testing
  8. Deployment
  9. Datenschleuse

Die Netzwerkkommunikation von Geräten über eine VLAN-Grenze hinweg muß explizit in den UTM-Firewalls freigegeben werden. An dieser Stelle erfolgen inhaltliche Analysen des Traffics zur Angriffserkennung und -vermeidung. Freigaben erfolgen entweder für definierte Protokolle bestimmer Hosts und/oder aufgrund eines Identitätsnachweises durch Anmeldung eines Benutzers an einem Portal oder einer Client-Applikation der Firewall (auch im Rahmen eines Single-Sign-On-Prozesses bei der Anmeldung).

...

Systeme, die zur Übertragung personenbezogener oder vertraulicher Daten eingesetzt werden, müssen mindestens eine Transportverschlüsselung einsetzen. Die damit zwingend einhergehenden Fehlererkennungs- und -korrekturverfahren sichern die Integrität der zu übermittelnden Daten. Mitarbeiter sollen Übertragungsweisen bevorzugen, die eine Ende-zu-Ende-Verschlüsselung unterstützen (z.B. Bereitstellung von Daten per Download über unsere flux.cloud-Plattform oder Microsoft OneDrive).

Protokolle ohne Transportsicherung dürfen nicht verwendet werden, wenn ein alternatives Protokoll mit Transportsicherung verfügbar ist (z.B für FTP, HTTP).

...

Für die Übermittlung besonders sensibler oder vertraulicher Daten soll eine persönliche oder telefonische Kontaktaufnahme zur Verifikation der Empfängeridentität und Übermittlung einer Bereitstellungs-URL der zu übermittelnden Daten stattfinden. Bei telefonischer Übermittlung sensibler oder vertraulicher Daten muß die Telefonieverbindung mindestens bis zum Telefonieprovider verschlüsselt erfolgen (SIP-TLS/SRTP). Für verschlüsselte Telefonieverbindungen stehen uns die Provider STARFACE Connect und QSC zur Verfügung, die für ausgehende Gespräche explizit ausgewählt werden können. Für die Übermittlung besonders sensibler oder vertraulicher Daten sind Mitarbeiter außerdem angewiesen, für die per flux.cloud oder Microsoft OneDrive zum Download bereitgestellten Daten, eine Dokumentenverschlüsselung (verschlüsseltes PDF) zu verwenden. Das Dokumentenkennwort soll dabei im Rahmen der persönlichen oder telefonischen Kontaktaufnahme übermittelt werden.

Daten, bei denen ein Betroffener einen Löschungsanspruch hat und bei denen gesetzliche Aufzeichnungspflichten nicht entgegenstehen, müssen von Mitarbeitern per flux.cloud-Plattform oder Microsoft OneDrive (mit entsprechender Kategorisierung) übertragen werden, da nur so eine revisionssichere Email-Archivierung ausgeschlossen wird und einem Löschungsanspruch nachgekommen werden kannwird und einem Löschungsanspruch nachgekommen werden kann.

Aufgrund geänderter rechtlicher Rahmenbedingungen (DSGVO-Compliance) wird auf revisionssichere Emailarchivierung verzichtet (da Löschpflichten ansonsten nicht nachgekommen werden kann). Stattdessen wird Dokumenten/Emails über Kategorisierung eine entsprechende Aufbewahrungsrichtlinie (Retention-Policy) zugewiesen, die neben der Sicherstellung einer Aufbewahrungsdauer auch eine automatische Löschung von Daten vorsieht.

Die Übermittlung von Daten per Email oder flux.cloud-Plattform wird protokolliert. Im Falle von geschäftlichen aufbewahrungspflichtigen Emails, erfolgt eine revisionssichere Speicherung (Archivierung) der Emails für eine Dauer von 6 respektive 10 Jahren (zur Erfüllung gesetzlicher Anforderungen der GoBD aus HGB und AO). Diese Speicherung/Archivierung wird über Office 365 Retention-Policies umgesetzt.

Die Verwendung mobiler Datenträger (USB-Sticks, CDs/DVDs, mobile Festplatte, etc.) zum Transport personenbezogener Daten ist Mitarbeitern nicht gestattet. Die Annahme fremder mobiler Datenträger und deren Verwendung an unseren Datenverarbeitungssystemen ist Mitarbeitern ebenfalls untersagt.

...

Nur auf ausdrücklichen Wunsch oder nach Zustimmung durch den Auftraggeber, werden Auftragsdaten zur Erbringung von Servicedienstleistungen (zum Beispiel für Support und Fehleranalysezwecke) an Soft- und Hardwareherstellers eines betroffenen Produkts übermittelt. Übermittelte Log-Dateien und Endkundeninformationen können als Nebenfolge hierbei personenbezogene Daten enthalten, die jedoch für keine anderen Zwecke als die Erbrigung der konkreten Servicedienstleistung verwendet werden dürfen. Mit Herstellern, bei denen wir einen Partnerstatus haben, diversen Herstellern haben wir zu diesem Zweck die in folgender Tabelle näher beschriebenen Auftragsdatenverarbeitungsverträge (ADV-VAuftrags(daten)verarbeitungsverträge (AV-Verträge) geschlossen. Im Rahmen der Prüfung der technischen und organisatorischen Maßnahmen (TOM) der Hersteller wurde uns jewils ein ausreichendes Schutzniveu zugesichert, welches jedoch nicht notwendigerweise dem von uns in diesem Dokument aufgeführten Schutzniveu entsprechen muß.

HerstellerADV-VertragTechnische und organisatorische MaßnahmenVertrag vom / Zuletzt geprüft
STARFACE GmbH

ADV-Vertrag STARFACE Fluxpunkt.pdf

Anhang zu ADV-V26.02.2018
Viprinet Europe GmbH


Microsoft Corporation

MicrosoftOnlineServicesTerms(German)(April2018)(CR).docx

Anhang zu ADV-V22.04.2018
Krämer IT Solutions GmbH


TELiAS

TELiAS_Datenschutz gemäß § 9 BDSG TOMs.pdf

23.04.2018
Google Inc.


ALSO Deutschland GmbH


Wie unter Weitergabekontrolle, Absatz 8 beschrieben, fallen beim Anbieter TeamViewer GmbH Verkehrsdaten an. Darüberhinaus hätte der Anbieter die Möglichkeit eines Man-in-the-Middle-Angriffs auf TeamViewer-Sitzungen. TeamViewer wurde einer sicherheitstechnischen Prüfung der FIDUCIA IT AG sowie einem BISG-Gutachten unterzogen. Darüberhinaus ist TeamViewer SOC 2 zertifiziert.

...

Für den Umgang mit mobilen Datenträgern (CD/DVD, USB-Sticks, SD-Karten, mobile Festplatten, etc.) kommt zur Perimetersicherung eine Datenschleuse PROVAIA des Herstellers PRESENSE zum Einsatz. Mobile Datenträger dürfen nicht mit Endgeräten verbunden werden (was darüberhinaus durch USB-Port-Locker verhindert wird), sondern müssen durch die Datenschleuse auf Viren, Skripte, Autostart-Funktionen geprüft und freigegeben werden. Dokumente werden von der Datenschleuse in portable und sichere Formate ohne Skripte und ohne eingebettete Schriften konvertiert. Der Inhalt freigegebener Datenträger wird anschließend auf ein spezielles Netzlaufwerk gespeichert.

...

Wir planen die Einführung von 802.1x Authentifizierung und Autorisierung von Netzwerkgeräten und -benutzern (Network Access Control; NAC) zur Verbesserung der Zugriffskontrolle. Unsere Netzwerkhardware ist hierfür bereits vorbereitet.