1 Vertraulichkeit
1.1 Zutrittskontrolle
| Technische Maßnahmen | Organisatorische Maßnahmen |
| Einbruchmeldeanlage | Schlüsselregelung und Schlüssellisten |
| Zugangskontrollsystem | Empfang / Rezeption |
| Chipkarten- / Transpondersysteme | Regelmäßige Schulungen |
| Manuelles Schließsystem | Besucherbuch / Besucherprotokoll |
| Sicherheitsschlösser | Mitarbeiter- und Besucherausweise |
| Zutrittskontrollsysteme mit Kartenleser | Besucher nur in Begleitung von Mitarbeitern |
| Kameraüberwachung | Sorgfältige Auswahl des Wachpersonals |
| Sorgfältige Auswahl von Reinigungsdiensten | |
1.2 Zugangskontrolle
| Technische Maßnahmen | Organisatorische Maßnahmen |
| Login mit Benutzername und Passwort | Verwaltung und regelmäßige Überprüfung von Benutzerberechtigungen |
| Multi-Faktor-Authentifizierung für kritische Systeme | Erstellung von Benutzerprofilen |
| Biometrische Authentifizierungsverfahren | Zentrale Passwortvergabe |
| Anti-Viren-Software (Server und Clients) | Richtlinie „Sicheres Passwort“ |
| Firewall | Clean-Desk-Policy |
| Intrusion Detection System (IDS) | Allgemeine Datenschutz- und Sicherheitsrichtlinien |
| Intrusion Prevention System (IPS) | Mobile-Device-Policy |
| Application Layer Gateways | Awareness-Programme |
| Mobile Device Management (MDM) | |
| Conditional Access Policies | |
| Rollenbasierte Zugriffskontrollen (RBAC) | |
| Logging und Monitoring mit Anomalieerkennung | |
| VPN bei Remote-Zugriffen | |
| Verschlüsselung von Datenträgern | |
| Verschlüsselung mobiler Endgeräte (Notebooks, Tablets) | |
| Automatische Desktopsperre | |
| Automatische Sperrung nach Fehlversuchen | |
| Automatische Sperre bei Wegfall der Zugangsberechtigung |
1.3 Zugriffskontrolle
| Technische Maßnahmen | Organisatorische Maßnahmen |
| Aktenvernichter (mindestens Sicherheitsstufe 3) | Einsatz Berechtigungskonzepte |
| Externer Aktenvernichter (DIN 32757) | Minimale Anzahl an Administratoren |
| Physische Löschung von Datenträgern | Datenschutztresor |
| Protokollierung von Zugriffen auf Anwendungen, konkret bei der Eingabe, Änderung und Löschung von Daten | Benutzerrechteverwaltung durch Systemadministratoren |
| Data Loss Prevention (DLP) | Sichere Aufbewahrung von Datenträgern |
| Kennzeichnung und Kategorisierung sensibler Daten (Data Classification Policy) | Regelmäßige Prüfung der Log-Daten auf Unregelmäßigkeiten |
| Privileged Access Management (PAM) | Schulung und Sensibilisierung |
| Zugriffsprotokolle | Regelmäßige Audits und Penetrationstests (durch Dienstleister) |
| Logging und Monitoring mit Anomalieerkennung | Vertraulichkeitsvereinbarungen |
| Regelmäßige Prüfung der Log-Daten auf Unregelmäßigkeiten |
1.4 Trennungskontrolle
| Technische Maßnahmen | Organisatorische Maßnahmen |
| Trennung von Produktiv- und Testumgebung | Steuerung über Berechtigungskonzept |
| Physikalische Trennung (Systeme / Datenbanken / Datenträger) | Festlegung von Datenbankrechten |
| Mandantenfähigkeit relevanter Anwendungen | Datensätze sind mit Zweckattributen versehen |
| Einsatz von Containern zur klaren Trennung von Daten für unterschiedliche Zwecke | Regelmäßige Überprüfung der Trennungskonzepte |
| Datensätze mit Zweckattributen/Datenfeldern versehen | Schulung der Mitarbeiter |
| Bei pseudonymisierten Daten: Trennung der Zuordnungsdatei und der Aufbewahrung auf einem getrennten, abgesicherten IT-System | Dokumentation und Protokollierung |
| Virtualisierung | Richtlinien zur Datenklassifizierung |
| Netzwerksegmentierung | |
| Datenbankverschlüsselung |
1.5 Pseudonymisierung
| Technische Maßnahmen | Organisatorische Maßnahmen |
| Trennung der Zuordnungsdaten und Aufbewahrung in getrenntem und abgesicherten System (mögl. verschlüsselt) | Interne Anweisung, personenbezogene Daten im Falle einer Weitergabe oder auch nach Ablauf der gesetzlichen Löschfrist möglichst zu anonymisieren / pseudonymisieren |
| Verschlüsselung der Pseudonymisierungsdaten | Schulung der Mitarbeiter |
| Zugriffskontrollen auf Zuordnungsdateien | Dokumentation und Protokollierung |
| Tokenisierung | Regelmäßige Audits |
| Datenmaskierung |
2. Integrität
2.1 Weitergabekontrolle
| Technische Maßnahmen | Organisatorische Maßnahmen |
| Einsatz von VPN | Dokumentation der Datenempfänger sowie der Dauer der geplanten Überlassung bzw. der Löschfristen |
| Verschlüsselung | Übersicht regelmäßiger Abruf- und Übermittlungsvorgängen |
| Protokollierung/Dokumentation | Weitergabe in anonymisierter oder pseudonymisierter Form |
| Logging und Monitoring mit Anomalieerkennung | Sorgfalt bei Auswahl von Transport-Personal und Fahrzeug |
| Data Loss Prevention (DLP) | Aufstellen von Sicherheitsrichtlinien |
| Einsatz von digitalen Signaturen | Regelmäßige Schulungen für Mitarbeiter zur sicheren Datenübertragung |
| Verschlüsselung der mobilen Datenträger | Transport durch Spezialfirma |
| Einsatz von Hash-Werten | Versand per Einschreiben/Wertpaket |
| Sperrung unbefugter Geräte | Verwendung gesicherter/verschlossener Transport-behältnisse |
| Sichere Transportbehälter | Regelmäßige Überprüfung der Sicherheitsmaßnahmen |
2.2 Eingabekontrolle
| Technische Maßnahmen | Organisatorische Maßnahmen |
| Technische Protokollierung der Eingabe, Änderung und Löschung von Daten | Übersicht, mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden können |
| Manuelle oder automatisierte Kontrolle der Protokolle | Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen) |
| Echtzeitüberwachung | Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts |
| Benutzeraktivitätsprotokollierung | Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen wurden |
| Automatische Benachrichtigungen | Klare Zuständigkeiten für Löschungen |
| Regelmäßige Schulungen | |
| Dokumentation und Protokollierung | |
| Regelmäßige Audits |
3. Verfügbarkeit und Belastbarkeit
3.1 Verfügbarkeitskontrolle
| Technische Maßnahmen | Organisatorische Maßnahmen |
| Feuer- und Rauchmeldeanlagen | Backup- und Recovery-Konzept mit täglicher Sicherung aller relevanten Daten |
| Feuerlöscher Serverraum | Kontrolle des Sicherungsvorgangs |
| Serverraumüberwachung Temperatur und Feuchtigkeit | Regelmäßige techn. Überprüfung der Wiederherstellung (Recovery-Tests) |
| Redundant ausgelegte Klimatisierung | Aufbewahrung der Sicherungsmedien an einem sicheren Ort außerhalb des Serverraums |
| Einsatz unterbrechungsfreier Stromversorgung, Netzersatzanlage | Existenz eines Notfallplans (z.B. BSI IT-Grundschutz 100-4) |
| Verwendung von redundanten Systemen | Notfallübungen |
| Monitoring aller relevanten Server | Wiederherstellungspläne |
| Redundante Backup-Standorte in verschiedenen geografischen Regionen | Regelmäßige Schulungen |
| Getrennte Partitionen für Betriebssysteme und Daten | Dokumentation und Protokollierung |
| Virtualisierung | Regelmäßige Audits |
| Snapshot-Technologie | |
| Automatisierte Failover-Systeme |
3.2 Belastbarkeit
| Technische Maßnahmen | Organisatorische Maßnahmen |
| Ausreichende Dimensionierung von Systemen und Diensten | Backup- und Recovery-Konzept |
| Hohe Toleranz gegenüber Störungen | Regelmäßige Schulungen |
| Ausfallsicherheit von Systemen und Diensten | Dokumentation und Protokollierung |
| Load Balancing | Regelmäßige Audits |
| Clustering | Incident-Management |
| Failover-Systeme | |
| Redundante Netzwerke | |
| Disaster Recovery | |
| Performance-Monitoring | |
| Virtualisierung | |
| Containerisierung |
3.3 Schutz vor äußeren Einflüssen
| Technische Maßnahmen | Organisatorische Maßnahmen |
| Regelmäßig und zeitnah Sicherheits-Updates auf allen relevanten Sicherheitskomponenten | Regelmäßige Audits und Penetrationstests (durch Dienstleister) |
| Firewalls | Sicherheitsrichtlinien und -verfahren |
| Intrusion Detection Systeme (IDS) | Schulung und Sensibilisierung |
| Intrusion Prevention Systeme (IPS) | Incident-Response-Plan |
| Einsatz von Virenscannern auf Arbeitsstationen und Servern | Dokumentation und Protokollierung |
| Endpoint Detection and Response (EDR) | Regelmäßige Überprüfung der Sicherheitsmaßnahmen |
| Einsatz von Firewalls zur Absicherung von Netzwerkübergängen | Notfallübungen |
| Einsatz von Personal Firewalls auf Arbeitsstationen | Sicherheitsbewertung von Drittanbietern |
| DDoS-Schutz | |
| Zero Trust Security |
4. Regelmäßige Überprüfung und Evaluierung
4.1 Incident-Response-Management
| Technische Maßnahmen | Organisatorische Maßnahmen |
| Einsatz von Firewall und regelmäßige Aktualisierung | Dokumentierter Prozess zur Erkennung und Meldung von Sicherheitsvorfällen / Datenpannen |
| Einsatz von Spamfilter und regelmäßige Aktualisierung | Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen |
| Einsatz von Virenscanner und regelmäßige Aktualisierung | Einbindung von DSB und ISB in Sicherheitsvorfälle und Datenpannen |
| Intrusion Detection System (IDS) | Dokumentation von Sicherheitsvorfällen und Datenpannen z.B. via Ticketsystem |
| Intrusion Prevention System (IPS) | Durchführung von Penetrationstests zur Schwachstellenanalyse (durch Dienstleister) |
| Security Information & Event Management (SIEM) | Regelmäßige Schulungen |
| Automatisierte Incident-Response-Systeme zur schnelleren Reaktion auf Bedrohungen | Incident-Response-Plan |
| Endpoint Detection and Response (EDR) | Notfallübungen |
| Threat Intelligence Plattformen | Dokumentation und Protokollierung |
4.2 Datenschutz-Maßnahmen
| Technische Maßnahmen | Organisatorische Maßnahmen |
| Software-Lösungen für Datenschutz-Management im Einsatz | Interner und externer Datenschutzbeauftragter |
| Zentrale Dokumentation aller Verfahrensweisen und Regelungen zum Datenschutz mit Zugriffsmöglichkeit für Mitarbeiter nach Bedarf / Berechtigung (z.B. Wiki, Intranet …) | Mitarbeiter geschult und auf Vertraulichkeit / Datengeheimnis verpflichtet |
| Sicherheitszertifizierung nach ISO 27001 | Regelmäßige Sensibilisierung der Mitarbeiter mindestens jährlich |
| Anderweitiges dokumentiertes Sicherheitskonzept | Interner Informationssicherheitsbeauftragter |
| Eine Überprüfung der Wirksamkeit der technischen Schutzmaßnahmen wird mind. jährlich durchgeführt | Datenschutz-Folgenabschätzung (DSFA wird bei Bedarf durchgeführt) |
| Datenverschlüsselung | Die Organisation kommt den Informationspflichten nach Art. 13 und 14 DSGVO nach |
| Anonymisierung und Pseudonymisierung | Formalisierter Prozess zur Bearbeitung von Auskunftsanfragen seitens Betroffener ist vorhanden |
| Zugriffskontrollen | Dokumentation und Protokollierung: |
| Data Loss Prevention (DLP) | Regelmäßige Audits |
| Regelmäßige Sicherheitsupdates | Vertraulichkeitsvereinbarungen |
| Regelmäßige Überprüfung und Aktualisierung der Datenschutzrichtlinien | |
| Kommunikationsplan |
4.3 Datenschutzfreundliche Voreinstellungen
| Technische Maßnahmen | Organisatorische Maßnahmen |
| Einfache Ausübung des Widerrufrechts des Betroffenen durch technische Maßnahmen | Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind |
| Symmetrische Verschlüsselung nach Stand der Technik | Wirksame Schlüsselverwaltung (Generierung, Ausgabe, Sperrung) ist bei Einsatz kryptographischer Verfahren |
| Asymmetrische Verschlüsselung nach Stand der Technik | Sichere Einbeziehung von externen Diensten (bzgl. Vertraulichkeit und Integrität) |
| HTTPS nach Stand der Technik | Regelmäßige Schulungen |
| Datenschutzfreundliche Voreinstellungen in Software und Anwendungen | Dokumentation und Protokollierung |
| Automatische Anonymisierung und Pseudonymisierung | Vertraulichkeitsvereinbarungen |
4.4 Auftragskontrolle
| Technische Maßnahmen | Organisatorische Maßnahmen |
| Sicherheitszertifizierungen | Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmaßnahmen und deren Dokumentation |
| Verschlüsselung der Datenübertragung | Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (gerade in Bezug auf Datenschutz und Datensicherheit |
| Zugriffskontrollen | Abschluss der notwendigen Vereinbarung zur Auftragsverarbeitung bzw. EU-Standardvertragsklauseln |
| Protokollierung und Monitoring | Schriftliche Weisungen an den Auftragnehmer |
| Data Loss Prevention (DLP) | Verpflichtung der Mitarbeiter des Auftragnehmers auf Datengeheimnis |
| Vereinbarung wirksamer Kontrollrechte gegenüber dem Auftragnehmer | |
| Regelung zum Einsatz weiterer Subunternehmer | |
| Regelmäßige Schulungen | |
| Dokumentation und Protokollierung | |
| Vertraulichkeitsvereinbarungen | |
| Kommunikationsplan |