Landesinformationssystem (LIS)

Größe: px
Ab Seite anzeigen:

Download "Landesinformationssystem (LIS)"

Transkript

1 Überprüfung der Datensicherheit des Verfahrens Landesinformationssystem (LIS) auf der Basis von IT-Grundschutz nach BSI beim Statistikamt Nord Dokument zur Veröffentlichung um interne Informationen bereinigt Auditorin: Anke Nöbel

2 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) Holstenstraße Kiel Kiel, Auditorin: Anke Nöbel Az.: 16.01/ Seite 2

3 Inhaltsverzeichnis 1 Zusammenfassung 5 2 Gegenstand und Ziel der Begutachtung Ausgangslage IT-Sicherheitskonzeption nach IT-Grundschutz Grundschutzklassifizierung 7 3 Vorgehen bei der Überprüfung 8 4 Feststellungen zum Landesinformationssystem (LIS) Organisation Module Dokumentation Statistikamt Nord IT-Sicherheitsleitlinie IT-Sicherheitsmanagement Schutzbedarfsfeststellung Grundschutzmaßnahmen Ergänzende Sicherheits- und Risikoanalyse Datenschutzkonzept Berechtigungskonzept Vertragsunterlagen mit Dataport Dokumentation Dataport Datenschutzleitlinie IT-Sicherheitsleitlinie IT-Sicherheitsrichtlinien für IT-Komponenten Maßnahmenreport Revisionskonzept Vorortprüfung Statistikamt Nord Überprüfung der Wirksamkeit des IT-Sicherheitsmanagements Hard- und Softwareeinsatz Maßnahmenumsetzung Allgemeiner Server Maßnahmenumsetzung Allgemeiner Client Maßnahmenumsetzung LIS-Kernapplikation LIS Berechtigungskonzept LIS Protokollierung Trennung der Datenbestände Kern-LIS und Online-DB Vorortprüfung Dataport Überprüfung der Wirksamkeit des IT-Sicherheitsmanagements 29 Seite 3

4 4.6.2 Überprüfung der Umsetzung der Dataport-Datenschutzleitlinie Überprüfung der Umsetzung der Sicherheitsrichtlinie Datenbanken und Datenbankserver Überprüfung der Umsetzung der Sicherheitsrichtlinie Windows-Clients Überprüfung der Umsetzung des Revisionskonzepts Changemanagement LIS Betriebskonzept Datenschutzrechtliche Bewertung 32 Anlage: Schreiben des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit 34 Seite 4

5 1 Zusammenfassung Im Auftrag des Statistikamtes Nord wurde die Datensicherheit auf der Basis von IT-Grundschutz nach BSI (Bundesamt für Sicherheit in der Informationstechnik) für a- (LIS) überprüft. Die Begutachtung fand stichprobenartig im Mai 2012 statt und wurde in folgenden Schritten durchgeführt: 1. Prüfung der Dokumentation nach den Anforderungen des IT-Grundschutzstandards. 2. Vorort-Prüfung des ordnungsgemäßen Einsatzes des LIS beim Statistikamt Nord. 3. Überprüfung des Auftragnehmers Dataport im Rahmen der Auftragsdatenverarbeitung. Hierzu zählten die Begutachtung der Dokumentation sowie die stichprobenartige Prüfung der Umsetzung von Grundschutzmaßnahmen vor Ort. 4. Einbeziehung der datenschutzrechtlichten Bewertung der Datenverarbeitung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI). LIS ist ein Verfahren zur zentralen Speicherung und Auswertung von verdichteten Statistikdaten. Die Daten werden aus Anwendungen der amtlichen Statistik übernommen. LIS wird auf Servern bei Dataport in einem abgeschotteten Netzsegment betrieben. Der Zugriff erfolgt über Clients im Statistikamt Nord an den Standorten Kiel und Hamburg. Darüber hinaus wird ein Zugriff über das Internet auf die sogenannte LIS-Onlinedatenbank angeboten. Für die Entwicklung und den Produktiveinsatz sind beim Statistikamt Nord Mitarbeiterinnen und Mitarbeiter zuständig. Das Verfahren besteht aus folgenden Modulen: - - statistische Datenprofile bzw. Quader verarbeitet. Die Daten können personenbeziehbar sein, wenn weitere Informationen außerhalb des Verfahrens bekannt sind. - -, nicht-personenbezogene Daten gespeichert. Sie entstammen den operativen Systemen der amtlichen Statistik. - - r- den vorgesehen. Das Modul war zum Zeitpunkt der Begutachtung nicht aktiviert, weil eine Rechtsgrundlage für den Zugriff auf die Daten nicht vorlag. Es wurde deshalb nicht in die Sicherheitsbetrachtung mit einbezogen Administration der Datenbank erforderlich. Seite 5

6 Dem ULD wurde vom Statistikamt Nord eine umfassende IT-Sicherheitskonzeption auf der Basis des IT-Grundschutzsstandards des BSI vorgelegt. Die IT-Sicherheitskonzeption ist unterteilt nach Zuständigkeiten des Statistikamtes Nord und Dataport. Die Überprüfung einzelner Dokumente der IT-Sicherheitskonzeption hat ergeben, dass insoweit die Anforderungen des IT-Grundschutzstandards vom Statistikamt Nord und von Dataport vorbildlich erfüllt werden. Es wurden lediglich kleinere Abweichungen festgestellt. Dazu gehört die Dokumentation der Maßnahmenumsetzung bei Dataport. Diese wies unterschiedliche Ausprägung und Qualität auf, so dass die Nachvollziehbarkeit der ordnungsgemäßen Umsetzung der Maßnahmen und eine interne Überprüfung im Rahmen von Sicherheitschecks oder Audits nur eingeschränkt möglich sind. Nach den IT-Grundschutzvorgaben sollen die Ergebnisse der Maßnahmenumsetzung so dokumentiert werden, dass sie für alle Beteiligten nachvollziehbar sind und als Grundlage für die Umsetzungsplanung der defizitären Maßnahmen genutzt werden können (vgl. Tz des BSI-Standards 100-2). Im Rahmen der Vorortprüfung wurde stichprobenartig die Umsetzung der Sicherheitskonzeption beim Statistikamt Nord und bei Dataport mit folgendem Ergebnis überprüft: 1. Das Sicherheitsmanagement beim Statistikamt Nord und bei Dataport ist aktiv. 2. Verantwortlichkeiten und Zuständigkeiten für den sicheren Betrieb des Verfahrens sind auf Seiten des Statistikamtes Nord und Dataport festgelegt. Es zeigte sich im Rahmen der Interviews, dass der Informationsaustausch über technische und organisatorische Veränderungen am LIS zwischen Dataport und Statistikamt Nord noch verbessert werden sollte. 3. Die IT-Systeme werden nach den IT-Grundschutzanforderungen betrieben. Die Maßnahmenumsetzung auf zwei Administrationsservern des Statistikamtes Nord war zum Zeitpunkt der Begutachtung noch nicht vollständig abgeschlossen, was jedoch für den Produktiveinsatz des LIS keine sicherheitstechnische Beeinträchtigung zur Folge hatte. 4. Beim Statistikamt Nord bestehen noch keine ausreichenden Regelungen für den Einsatz von Wechselspeichermedien, wie z.b. USB-Sticks, und der sicherheitstechnischen Administration von Notebooks. Ein überprüftes Notebook hatte keine Festplattenverschlüsselungssoftware installiert. Die Prüfung der datenschutzrechtlichen Zulässigkeit der Datenverarbeitung im LIS hat der Hamburgische Beauftragte für Datenschutz und Informationssicherheit aufgrund seiner Zuständigkeit für das Statistikamt Nord durchgeführt und seine Feststellungen dem Statistikamt Nord gesondert mitgeteilt. Eine Stellungnahme zum Einsatz der LIS-Onlinedatenbank ist diesem Gutachten beigefügt. Die stichprobenartige Überprüfung hat ergeben, dass die Datensicherheit auf der Basis von IT-Grundschutz für das Landesinformationssystem (LIS) vom Statistikamt Nord vorbildlich umgesetzt wurde. Seite 6

7 2 Gegenstand und Ziel der Begutachtung 2.1 Ausgangslage Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) wurde vom Statistikamt Nord beauftragt, eine Begutachtung und die stichprobenartige Prüfung der Umsetzung der i Statistikamtes Nord nach den Anforderungen der Datensicherheit und des IT-Grundschutzes des Bundesamtes für Sicherheit in der Informationstechnik (BSI) durchzuführen. Hierbei handelt es sich um eine sicherheitstechnische Begutachtung nach dem IT-Grundschutzstandard. Die datenschutzrechtliche Bewertung der Zulässigkeit der Datenverarbeitung durch LIS hat der Hamburgische Beauftragte für Datenschutz und Informationssicherheit (HmbBfDI) aufgrund seiner Zuständigkeit für das Statistikamt Nord durchgeführt. 2.2 IT-Sicherheitskonzeption nach IT-Grundschutz Für den Einsatz von LIS wurde eine umfassende IT-Sicherheitskonzeption auf der Basis des IT- Grundschutzstandards des BSI erstellt. Dabei wurden für das Verfahren nach der Grundschutzmethode eine Strukturanalyse, eine Schutzbedarfsfeststellung, die Zuordnung und Festlegung technischer und organisatorischer IT-Sicherheitsmaßnahmen aus dem Grundschutzkatalog, ihre Überprüfung der Umsetzung im Rahmen eines Basissicherheitschecks sowie eine ergänzende Risikoanalyse durchgeführt. LIS wird im Rahmen einer Auftragsdatenverarbeitung durch Dataport betrieben. Die von Dataport erbrachten und zu verantwortenden Dienstleistungen für einen sicheren Betrieb des Verfahrens sind in einem Vertrag zwischen dem Statistikamt Nord und Dataport geregelt. Die sicherheitsrelevanten Regelungen wurden in die Begutachtung mit einbezogen. 2.3 Grundschutzklassifizierung Die in den IT-Grundschutzkatalogen des BSI enthaltenden Sicherheitsmaßnahmen sind Standardsicherheitsmaßnahmen zur Erreichung des IT-Grundschutzstandards. Diese implizieren den Die Grundschutzkonformität ist erst erreicht, wenn alle Standardsicherheitsmaßnahmen vollständig umgesetzt werden. Wird der Schutzbedarf auf oder festgelegt, können neben den Standardsicherheitsmaßnahmen im Rahmen einer Risikoanalyse zusätzliche Maßnahmen umgesetzt werden. Die IT-Grundschutzkataloge enthalten hierfür bereits Vorschläge. Das Statistikamt Nord hat in einer Schutzbedarfsfeststellung für einzelne Komponenten die Schutzbedarfkategorie und eine Risikoanalyse durchgeführt. Daraufhin wurden zusätzliche Maßnahmen festgelegt und umgesetzt. Seite 7

8 3 Vorgehen bei der Überprüfung Die Überprüfung wurde in folgenden Schritten durchgeführt: 1. Prüfung der Dokumentation nach den Anforderungen des IT-Grundschutzstandards. 2. Vorort-Prüfung des ordnungsgemäßen Einsatzes des LIS beim Statistikamt Nord. 3. Überprüfung des Auftragnehmers Dataport im Rahmen der Auftragsdatenverarbeitung. Hierzu zählten die Begutachtung der Dokumentation sowie die stichprobenartige Prüfung der Umsetzung von Grundschutzmaßnahmen vor Ort. 4. Einbeziehung der datenschutzrechtlichten Bewertung der Datenverarbeitung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI). Das Statistikamt Nord und Dataport legten für LIS eine umfangreiche Dokumentation auf der Basis von IT-Grundschutz vor. Diese wurde auf Vollständigkeit und Einhaltung der Grundschutzanforderungen analysiert. Im Rahmen einer Vorortprüfung wurden beim Statistikamt Nord und Dataport Interviews und Begehungen folgendermaßen durchgeführt: Statistikamt Nord Beteiligte: Termin, Ort: Verfahrensverantwortliche, Statistikamt Nord Verfahrensverantwortlicher, Statistikamt Nord Systemverantwortlicher, Statistikamt Nord Behördlicher Datenschutzbeauftragter, Statistikamt Nord 31. Mai 2012, Fröbelstraße 15-17, Kiel Prüfbereiche: - Maßnahmenumsetzung gemäß Grundschutztool für Baustein Allgemeiner Server, Baustein Allgemeiner Clientbaustein, Benutzerdefinierter Baustein LIS-Kernapplikation und Benutzerdefinierter Baustein LIS-Online-DB. - Bezogen auf die LIS-Module, Berechtigungskonzept, Protokollierung, Test und Freigabeverfahren, Update- und Patchmanagement, Trennung der Datenbestände Kern-LIS und Online-DB sowie Aufbereitung für die Replikation. Seite 8

9 Dataport Beteiligte: Termin, Ort: IT-Sicherheitsbeauftragter, Dataport IT-Sicherheitskoordinator LIS, Dataport IT-Sicherheitskoordinator DB, Dataport Verfahrensverantwortlicher, Statistikamt Nord Systemverantwortlicher, Statistikamt Nord Behördlicher Datenschutzbeauftragter, Statistikamt Nord 30. Mai 2012, Billstraße 82, Hamburg Prüfbereiche: - Maßnahmenumsetzung gemäß Grundschutztool für Bausteine Allgemeiner Server, Allgemeiner Client und 5.7 Datenbanken. - Umsetzung der Dataport-Datenschutzleitlinie, insbesondere Kapitel 3.3 Berechtigungskonzept und Kapitel 4.2 Revisionssichere Protokollierung. - Umsetzung der Dataport-Basisrichtlinie Windowsclient, Kapitel Administrationsclients. - Umsetzung der Dataport-Datenbankserverrichtlinie, Kapitel RDBMS Rollen-Rechte-Konzept, Kapitel 4.4 Protokollierung und Kapitel 5.2 Patchmanagement. - Umsetzung des Dataport-Revisionskonzeptes, Kapitel 3.1 Festlegung der Revisionstätigkeiten. - Verfahrensablauf Replikation der Datenbestände Kern-LIS und Online- DB. 4 Feststellungen zum Landesinformationssystem (LIS) 4.1 Organisation LIS ist ein Verfahren zur zentralen Speicherung und Auswertung von verdichteten Statistikdaten. Die Daten werden aus Anwendungen der amtlichen Statistik übernommen. Bevor eine Dateneinlagerung bzw. ein Datenimport in das Informationssystem LIS möglich ist, ist die Erstellung eines vollständigen Datenprofils bzw. Quaders notwendig. LIS wird auf Servern bei Dataport in einem abgeschotteten Netzsegment betrieben. Der Zugriff erfolgt über Clients im Statistikamt Nord an den Standorten Kiel und Hamburg. Darüber hinaus ist ein Zugriff über das Internet auf die sogenannte LIS-Onlinedatenbank möglich, siehe Abbildung 1. Seite 9

10 Abbildung 1: Netzplan Für die Entwicklung und den Produktiveinsatz sind beim Statistikamt Nord Mitarbeiterinnen und Mitarbeiter zuständig. Für den ordnungsgemäßen Betrieb des Verfahrens werden in dem Do -Organisations vom den Referaten u.a. folgende Aufgaben zugeordnet: Referat 52 - Entwicklungsplanung, - fachliche und technische (organisatorische) Steuerung, - Festlegung fachlicher Anforderungen, - Freigabe der Software und DV-Verfahren, - Autorisierung der anwendenden Stelle(n) und Benutzer, - Verfahrensdokumentation und -beschreibung, - Prüfung von Einzelfreigaben auf die Einhaltung von Datenschutz und statistischer Geheimhaltung, - Auswertung der LIS-Systemprotokolle zur Qualitätssicherung sowie der Recherche in Fehlerund Schadensfällen, - Sicherung der Trennung der Landesstatistikdaten von Hamburg und Schleswig-Holstein, - Konzeption und Abstimmung der Inhalte: Quader, Metadaten und Referenzen, Seite 10

11 - Befüllung der Datenbank (ETL), - Entwicklung von Standardtabellen und Berichten, - Benutzeradministration und betreuung, - Durchführung von Einweisungen/Schulungen, - - e- darfe von Hamburg und Schleswig-Holstein, - Einsatz des LIS-Berichtsgenerators, - Einbindung ins Internet und laufende Pflege. Referat 34 - IT-Service für das Datenmanagement, - technische Bereitstellung und Weiterentwicklung des LIS-Gesamtsystems, - technische Aufbereitung der Importdaten, - Kontaktpflege mit dem Software-Hersteller, - Test und Einsatz neuer Programme. 4.2 Module LIS wird im Statistikamt Nord den Mitarbeiterinnen und Mitarbeitern zur Nutzung auf ihren Clients zur Verfügung gestellt. Die zentral auf Servern bei Dataport gespeicherten Statistikdaten werden innerhalb der Datenbank fachbereichsbezogen verwaltet. Sie werden ausschließlich von Mitarbeiterinnen und Mitarbeitern mit den entsprechenden rechtlichen Voraussetzungen (Verpflichtung auf statistische Geheimhaltungen) verarbeitet. Außerdem können über die Onlinedatenbank Datenabfragen für Politik, Verwaltung, Wirtschaft und Wissenschaft eingerichtet werden. Das Verfahren besteht aus folgenden Modulen: - LIS-Kernapplikation verschiedene statistische Datenprofile bzw. Quader verarbeitet. Die Daten können personenbeziehbar sein, wenn weitere Informationen außerhalb des Verfahrens bekannt sind. - LIS-Onlinedatenbank aggregierte, nicht-personenbezogene Daten gespeichert. Sie entstammen den operativen Systemen der amtlichen Statistik. - LIS-Extranet ist für den Zugriff und die Nutzung der Daten durch externe Behörden vorgesehen. Das Modul war zum Zeitpunkt der Begutachtung nicht aktiviert, weil eine Rechtsgrundlage für den Zugriff auf die Daten nicht vorlag. Es wurde deshalb nicht in die Sicherheitsbetrachtung mit einbezogen. - LIS-Tools LIS-Geheimhaltung der Daten und die Administration der Datenbank erforderlich. Seite 11

12 4.3 Dokumentation Statistikamt Nord Für LIS wurde eine umfangreiche Dokumentation auf der Basis von IT-Grundschutz erstellt. Folgende Dokumente wurden vorgelegt: Funktions- und Verfahrensbeschreibung - Verfahrensbeschreibung LIS V LIS datenschutzrechtliche Freigabe Kern-LIS durch die Fachabteilung - - LIS-Organisationsstruktur V LIS Online-DB Replikation V Nutzerhandbuch V Funktionsumfang - - Datenfluss V LIS Daten- und Quaderorganisation V 1.0 Datenprofile/Quaderdokumentation - Richtlinie für die Quaderdokumentation V Muster einer Quaderakte - - Quaderübersicht - Datenschutz- und IT-Sicherheitskonzept - IT-Sicherheitsleitlinie V IT-Sicherheitsmanagement V Schutzbedarfsfeststellung V Maßnahmenkatalog - - Ergänzende Sicherheitsanalyse V Ergänzende Risikoanalyse V Datenschutzkonzept V Berechtigungskonzept V 1.1 Seite 12

13 IT-Komponenten Statistikamt Nord - Komponentenliste V vereinfachter LIS-Netzplan - - LIS IT-Freigabeverfahren V LIS Antragsformular für Weiterentwicklungen - Datenverarbeitung bei Dataport - EVB-IT-Vertrag zwischen Statistikamt Nord und Dataport für die Beschaffung von IT-Dienstleistungen vom (V3472/ ) - - Leistungsbeschreibung der zentralen Infrastruktur für das Verfahren LIS V Änderungsverfahren zum EVB-IT-Vertrag vom (Herstellung BSIkonformer Betrieb) - LIS verfügt über eine sehr umfangreiche Dokumentation auf einem qualitativ hohen Niveau. Die Grundschutzdokumentationsanforderungen werden vorbildlich erfüllt. Nachfolgend werden im Gutachten insbesondere die Dokumente erwähnt, die aus sicherheitstechnischer Sicht eine besondere Bedeutung haben IT-Sicherheitsleitlinie Die IT-Sicherheitsleitlinie wurde vom Vorstand in der Version 1.6 in Kraft gesetzt. Sie gilt für den gesamten Tätigkeitsbereich des Statistikamtes Nord und enthält die Leitsätze für die IT- Sicherheitsziele und die IT-Sicherheitsstrategie. Werden Dritte mit der Erbringung von Leistungen beauftragt, wurde festgelegt, dass durch vertragliche Vereinbarungen sicherzustellen ist, dass die Anforderungen der IT-Sicherheitsleitlinie in den Leistungsbeschreibungen berücksichtigt werden. Folgende Regelungen sind von besonderer Bedeutung: - Für die Implementierung einer nachvollziehbaren und messbaren Sicherheit der IT wird im Statistikamt Nord der international anerkannte Grundschutzstandard des BSI eingeführt. - Zur Erreichung der IT-Sicherheitsziele wird ein IT-Sicherheitsbeauftragter ernannt und ein IT- Sicherheitsmanagement-Team (ITSM-Team) eingerichtet. Der IT-Sicherheitsbeauftragte wird bei seiner Arbeit vom IT-Sicherheitsmanagement-Team unterstützt. Der IT-Sicherheitsbeauftragte berichtet über die Durchführung seiner Aufgaben an den IT-Leiter. - Das Statistikamt Nord stellt sicher, dass die Vorschriften der statistischen Geheimhaltung und des Datenschutzes eingehalten werden (Vertraulichkeit), Seite 13

14 - die Daten nur in der vorgeschriebenen Verfahrensweise verarbeitet und nicht durch menschliches oder technisches Fehlverhalten verfälscht werden (Integrität) und - die von den Nutzern benötigten Daten und Verfahren stets im erforderlichen Umfang zur Verfügung stehen (Verfügbarkeit). Die IT-Sicherheitsleitlinie des Statistikamtes Nord wurde grundschutzkonform erstellt. Die Leitungsebene hat die aufbau- und ablauforganisatorischen Strukturen für das IT-Sicherheitsmanagement korrekt festgelegt. Empfehlung: Es ist darauf zu achten, dass die Vorgaben der IT-Sicherheitsleitlinie im Statistikamt Nord auch für die am LIS beteiligten bzw. Daten liefernden Fachverfahren zügig umgesetzt werden IT-Sicherheitsmanagement Das Dokument beschreibt die Zusammensetzung und Aufgaben des Sicherheitsmanagements. Es ist im Januar 2012 in der Version 1.3 zum letzten Mal überarbeitet worden. Folgende Regelungen sind von Bedeutung: - Das IT-Sicherheitsmanagement (ITSM) gewährleistet einen übergreifenden Sicherheitsmanagementprozess für den Informationsverbund. Es ist für alle IT-Sicherheitsfragen innerhalb des Statistikamtes Nord zuständig. - Der Vorstand legt in einer IT-Sicherheitsleitlinie das angestrebte Sicherheitsniveau, die Sicherheitsziele und die Sicherheitsstrategie fest. - Die Umsetzung, Einhaltung und Aktualität der IT-Sicherheitsleitlinie wird in regelmäßigen Abständen (jährlich) durch das ITSM überprüft. - Das ITSM besteht insbesondere aus dem Leiter des Referats 33 (IT), dem behördlichen Datenschutzbeauftragten sowie dem IT-Sicherheitsbeauftragten und seinem Stellvertreter. - Alle Mitglieder des ITSM sollen über die für ihre Aufgabenerfüllung erforderliche Sachkunde verfügen. Soweit erforderlich werden hierfür notwendige Schulungsmaßnahmen initiiert. - Das ITSM führt regelmäßig (quartalsweise) Sitzungen durch, in denen aktuelle Sicherheitsthemen behandelt werden. Sofern erforderlich werden anlassbezogen außerordentliche Sitzungen einberufen. - Das ITSM kann bei Bedarf interne oder externe für den jeweiligen Sachverhalt geeignete Personen hinzuziehen. Die Beteiligungsrechte der Personalvertretung nach dem Mitbestimmungsgesetz bleiben hiervon unberührt. - Die Sitzungen des IT-Sicherheitsmanagements werden in Form eines Ergebnisprotokolls dokumentiert und den jeweils Betroffenen bekanntgegeben. Seite 14

15 Die getroffenen Regelungen für das ITSM des Statistikamtes Nord entsprechen dem Grundschutzstandard. Die organisatorischen Voraussetzungen für die Implementierung von IT-Sicherheit auf der Basis von Grundschutz sind korrekt festgelegt worden. Empfehlung: Es ist darauf zu achten, dass die zuständigen Personen mit ausreichenden zeitlichen Ressourcen für die Umsetzung ihrer Aufgaben ausgestattet werden Schutzbedarfsfeststellung Die Schutzbedarfsfeststellung ist in der Version 1.0 am in Kraft gesetzt worden. Es wurde auf der Grundlage des BSI-Standards 100-2, und der IT-Sicherheitsleitlinie des Statistikamtes Nord erstellt. In der Schutzbedarfsfeststellung wurde für das LIS und für die in der Verantwortung des Statistikamtes Nord eingesetzten IT-Komponenten der Schutzbedarf ermittelt. Dabei fanden insbesondere die zu beachtenden Vorschriften des Bundesstatistikgesetzes, des Hamburgischen Statistikgesetzes sowie des Hamburgischen Datenschutzgesetzes Berücksichtigung. Zusammenfassend wurde festgelegt, dass der Schutzbedarf für die Bereiche IT-Anwendungen, IT- Systeme, Kommunikationsverbindungen und Räume die r- steigt. Der Schutzbedarf der Daten wurde für die LIS-Kernapplikation u- LIS-Onlinedatenbank erhielt hingegen die Schutzkategorie, weil mit diesem keine personenbezogenen Daten verarbeitet werden. Der Schutzbedarf bei Dataport leitet sich aus einer eigenständigen für Dataport erstellten Standard- bei Dataport bereitgestellte Basisinfrastruktur festgeschrieben wurde. Aus dem von Dataport für die LIS-Komponenten erstellten Dataport-Maßnahmenreport ergeben sich jedoch mehrere Sicherheitsmaßnahmen, die der Schutzkate tsprechen, so dass die Anforderungen des Statistikamtes Nord für einen ausreichend sicheren Betrieb bei Dataport erfüllt werden. Auf eine weitergehende Risikoanalyse wurde verzichtet. Die Schutzbedarfsfeststellung des Statistikamtes Nord wurde grundschutzkonform erstellt. Der Schutzbedarf wurde für das Verfahren angemessen festgelegt und nach dem Maximumprinzip auf Systeme und Infrastruktur vererbt Grundschutzmaßnahmen Die vom Statistikamt Nord umzusetzenden Grundschutzmaßnahmen werden mit dem Grundschutztool bearbeitet und dokumentiert. Ein Auszug bzw. Report über den aktuellen Umsetzungstand wurde für eine Überprüfung zur Verfügung gestellt. Die Maßnahmen wurden im Report sogenannten Bausteinen zugeordnet. Sie beziehen sich auf die einzelnen LIS-Module, auf die für LIS eingesetzten IT-Systeme, auf die Infrastruktur und auf über- Seite 15

16 greifende Bereiche, wie z.b. das Sicherheitsmanagement, die Sensibilisierung und Schulung oder den Virenschutz. Der vom Statistikamt Nord vorgelegte Report des Maßnahmenkatalogs dokumentiert für den Betrieb des Verfahrens einen hohen Umsetzungsgrad. Die Maßnahmenumsetzung auf zwei Administrationsserver des Statistikamtes Nord war zum Zeitpunkt der Begutachtung noch nicht vollständig abgeschlossen, was jedoch für den Produktiveinsatz des LIS keine sicherheitstechnische Beeinträchtigung zur Folge hatte (vgl. Tz. 4.4 und 4.5). Empfehlung: Die weitere Bearbeitung der Grundschutzmaßnahmen ist nach einem festgelegten Zeitplan durchzuführen. Die Dokumentation im Grundschutztool ist entsprechend fortzuschreiben. Ferner sollten in regelmäßigen Abständen stichprobenartig Sicherheitschecks bzw. Audits durchgeführt werden Ergänzende Sicherheits- und Risikoanalyse Im Rahmen der Sicherheitsbetrachtung ist nach der Grundschutzmethode eine ergänzende Sicherheits- und Risikoanalyse in der Version 1.0 erstellt und durchgeführt worden. Beim Statistikamt Nord wurden dabei die Serverkomponenten und die einzelnen LIS-Module betrachtet. Im Dokument der Risikoanalyse wurden zunächst Gefährdungen dargestellt und den getroffenen r- insbesondere ermittelt: - Systematisches Ausprobieren von Passwörtern, - Missbrauch von Administratorrechten, - Nicht ausreichende Protokollierung von administrativen Aktivitäten. Für die Beseitigung der noch vorhandenen Risiken wurden insbesondere folgende zusätzliche Sicherheitsmaßnahmen getroffen: - Auswahl eines zentralen, netzbasierten Authentisierungsdienstes, - Einrichtung einer eingeschränkten Benutzerumgebung, - Protokollierung von administrativen Aktivitäten in Fachverfahren. LIS wurde für die Umsetzung der Maßnahmen mit entsprechenden Protokollierungsfunktionen vom Softwarehersteller nachgerüstet. Für den Betrieb des LIS auf IT-Systemen bei Dataport wurde kein Dokument über die ergänzende Sicherheits- und Risikoanalyse erstellt. Jedoch konnte das Statistikamt Nord sich bei Dataport im Rahmen von Vorortterminen über einen ausreichenden Schutz und über einen ordnungsgemäßen Seite 16

17 Betrieb des LIS überzeugen. In diesem Zusammenhang konnte Dataport für einen hohen Schutzbedarf u.a. folgende Maßnahmen nachweisen: - Sicherheitsüberprüfung von Mitarbeitern, - geeignetes Konzept für Personaleinsatz und qualifizierung, - Festlegung von Prioritäten für die Behandlung von Sicherheitsvorfällen, - Einrichtung eines Expertenteams für die Behandlung von Sicherheitsvorfällen, - Betrieb einer Gefahrenmeldeanlage (Feuer, Einbruch), - Verwendung von Sicherheitstüren und fenstern, - Einrichtung einer eingeschränkten Benutzerumgebung, - Verwendung von hochverfügbaren Architekturen für Server. Die ergänzende Sicherheits- und Risikoanalyse wurde vom Statistikamt Nord grundschutzkonform erstellt. Neben den Standardsicherheitsmaßnahmen wurden für den hohen Schutzbedarf weitere Sicherheitsmaßnahmen festgelegt, die noch verbliebene Gefährdungen reduzieren. Empfehlung: Die bei Dataport getroffenen zusätzlichen Sicherheitsmaßnahmen für einen hohen Schutzbedarf sollten in die vom Statistikamt Nord erstellten Dokumente für die Sicherheits- und Risikoanalyse aufgenommen werden Datenschutzkonzept In einem gesonderten Datenschutzkonzept wurde übergreifend für alle Fachverfahren des Statistikamtes Nord festgelegt, welche Datenschutzanforderungen bei der Verarbeitung personenbezogener Daten eingehalten werden müssen. Folgende Regelungen wurden in Form von Maßnahmen festgelegt: - Regeln beim Umgang mit schützenswerten Daten und bei deren Verarbeitung, - Führung von Verfahrensbeschreibungen und Meldepflichten bei der Verarbeitung von personenbezogenen Daten, - Prüfung rechtlicher Rahmenbedingungen und Vorabkontrolle vor der Verarbeitung schützenswerter Daten, - technisch-organisatorische Schutzmaßnahmen bei der Verarbeitung schützenswerter Daten, - Behandlung von Datenschutzverletzungen, - organisatorische Verfahren zur Sicherstellung der Rechte der Betroffenen bei der Verarbeitung von schützenswerten Daten, - datenschutzrechtliche Freigabe von Verfahren, - Meldung und Organisation von Abrufverfahren mit der Verarbeitung schützenswerter Daten, Seite 17

18 - Regelungen der Auftragsdatenverarbeitung im Zusammenhang mit schützenswerten Daten, - Verknüpfungen und Verwendung von schützenswerten Daten, - Überwachung und Kontrolle der Datenverarbeitung, - Datenschutzaspekte bei der Protokollierung, - datenschutzgerechte Löschung und Vernichtung von Daten und - Personaldatenverarbeitung / Beschäftigtendatenschutz. Das Datenschutzkonzept ist unter 1.5 der Grundschutzkataloge erstellt worden. Es enthält insbesondere Maßnahmen, die für die Einhaltung der materiellrechtlichen Datenschutzvorschriften maßgeblich sind. Empfehlung: Die vollständige Umsetzung der Maßnahmen des Datenschutzkonzepts ist durch den behördlichen Datenschutzbeauftragten in regelmäßigen Abständen zu prüfen Berechtigungskonzept Für LIS wurde ein gesondertes Berechtigungskonzept erstellt. Es beschreibt die Vergabe, Freigabe und Sperrung von Benutzerkonten und den ihnen zugewiesenen Befugnissen für die einzelnen Funktionen der LIS-Module. Darüber hinaus werden die Protokollierungsfunktionen dargestellt. Im Berechtigungskonzept ist festgelegt, dass die aktuell bestehenden Berechtigungen für die Benutzerkonten von der Administration kontrolliert und einmal wöchentlich in Form einer Liste mit den vergebenen Berechtigungen dokumentiert werden. Das Berechtigungskonzept enthält alle wesentlichen Punkte für eine prüfbare und nachvollziehbare Benutzer- und Berechtigungsverwaltung Vertragsunterlagen mit Dataport Im Rahmen der Auftragsdatenverarbeitung mit Dataport wurden für LIS folgende Vertragsunterlagen vorgelegt: - EVB-IT-Vertrag über die Beschaffung von IT-Dienstleistungen (V3472/ ) vom , - Anlage Leistungsbeschreibung der zentralen Infrastruktur für das Verfahrens LIS, - Änderungsverfahren zum EVB-IT-Vertrag vom (Herstellung BSI-konformer Betrieb). Seite 18

19 In dem Änderungsverfahren zum EVB-IT-Vertrag über die Beschaffung von IT-Dienstleistungen beauftragt das Statistikamt Nord bei Dataport den grundschutzkonformen Betrieb des LIS. Folgende Regelungen sind von sicherheitstechnischer Bedeutung: - Dataport betreibt ein IT-Sicherheitsmanagementsystem (ISMS) auf der Basis von IT- Grundschutz. Der Aufbau des ISMS erfolgt auf der Grundlage des BSI-Standards Wesentliche Elemente des ISMS sind: 1. Die Aufbauorganisation mit den im Geschäftsverteilungsplan dokumentierten Funktionsträgern, 2. die im IT-Sicherheits- und Datenschutzmanagementhandbuch beschriebenen Prozesse, 3. das Dataport-Regelwerk zur Informationssicherheit. - Das ISMS soll sicherstellen, dass nach dem im BSI-Standard festgelegten Schema die einschlägigen Sicherheitsmaßnahmen der IT-Grundschutzkataloge ausgewählt und umgesetzt werden. - Das ISMS hat dem Auftragnehmer den Nachweis über die aktuell umgesetzten Sicherheitsmaßnahmen (Sicherheitsnachweis) zu liefern. - Bei der Planung und Umsetzung von Sicherheitsmaßnahmen geht Dataport von einem normalen Schutzbedarf aus. Bei abweichendem Schutzbedarf sind geeignete, über das Schutzniveau normal hinausgehende Maßnahmen durch den Auftraggeber festzulegen und bei Dataport gesondert zu beauftragen. Der Vertrag zwischen dem Statistikamt Nord und Dataport enthält Regelungen, die für einen grundschutzkonformen Betrieb des LIS im Rahmen der Auftragsdatenverarbeitung ausreichend sind. Empfehlung: Das Statistikamt Nord sollte in regelmäßigen Abständen die Einhaltung der vertraglich festgelegten Regelungen im Rahmen von Audits überprüfen. 4.4 Dokumentation Dataport Dataport hat zur Erfüllung der vertraglichen Leistungen dem Statistikamt Nord eine CD mit umfangreicher Sicherheitsdokumentation auf der Basis von IT-Grundschutz zur Verfügung gestellt (siehe Tz ). In die Begutachtung wurden die folgenden Dokumente einbezogen, die in den nächsten Abschnitten erläutert werden: die Datenschutzleitlinie, die IT-Sicherheitsleitlinie, gesonderte IT-Sicherheitsrichtlinien für IT-Komponenten, der Maßnahmenreport und das Revisionskonzept. Seite 19

20 4.4.1 Datenschutzleitlinie Die Datenschutzleitlinie wurde in der Version 1.3 am das letzte Mal überarbeitet. In ihr sind u.a. folgende für die Auftragsdatenverarbeitung wesentlichen datenschutzrechtlichen Anforderungen enthalten: - Dataport erfüllt die Anforderungen an die Ordnungsmäßigkeit der im Kundenauftrag erfolgenden Verarbeitungsprozesse durch: 1. Verarbeitung der Daten ausschließlich nach den Weisungen des Auftraggebers, 2. Verarbeitung der Daten auf der Grundlage erstellter Sicherheitskonzepte, 3. den Einsatz von informationstechnischen Geräten und Software in der Produktion nach Test und Freigabe und 4. die Dokumentation der von Dataport eingesetzten automatisierten Verfahren. - Eine Datenverarbeitung im Unterauftrag erfolgt nur auf Grundlage einer ausdrücklichen schriftlichen Vereinbarung mit dem Auftraggeber unter Benennung des Unterauftragnehmers. - Dem Auftraggeber wird das Recht eingeräumt, nach Vorankündigung während der Geschäftszeiten von Dataport sich durch Inaugenscheinnahme und sonstige Erhebungen davon zu überzeugen, dass die Verarbeitung der personenbezogenen Daten nur im Rahmen seiner Weisungen erfolgt. - Dataport hat die nach dem Stand der Technik und der Schutzbedürftigkeit der Daten erforderlichen und angemessenen Maßnahmen getroffen. - Es ist insbesondere sichergestellt, dass 1. Unbefugten der Zugang zu Datenträgern, auf denen personenbezogene und andere im Interesse des Kunden schutzwürdige Daten gespeichert sind, verwehrt ist, 2. verhindert wird, dass personenbezogene und andere im Interesse des Kunden schutzwürdige Daten unbefugt verarbeitet werden oder Unbefugten zur Kenntnis gelangen, 3. gewährleistet wird, dass die die Daten verarbeitenden Personen, der Zeitpunkt und der Umfang der Datenverarbeitung festgestellt werden kann. - Dataport stellt sicher, dass im Rahmen der Produktion Personen Einfluss auf einen Verarbeitungsprozess erst nehmen können, nachdem ihre Berechtigung festgestellt worden ist. - Dataport dokumentiert die erteilten Zugriffsrechte auf die Systeme, die Software und die Datenbestände. - Dataport orientiert sich bei der Umsetzung der technisch-organisatorischen Maßnahmen an den Anforderungen des IT-Grundschutzes nach BSI in Übereinstimmung mit den datenschutzrechtlichen Vorgaben. - Administrative Zugriffe, mit denen Änderungen an automatisierten Verfahren bewirkt werden können, werden technisch abgesichert und nur von den hierzu ausdrücklich berechtigten Beschäftigten durchgeführt. - Administrative Zugriffe sowie Veränderungen werden revisionssicher protokolliert und im Rahmen definierter Verfahren ausgewertet. Seite 20

21 - Der Dataport-Vorstand hat einen behördlichen Datenschutzbeauftragten bestellt. Er besitzt die erforderliche Sachkunde und Zuverlässigkeit und kommt bei dieser Tätigkeit nicht in Konflikt mit anderen dienstlichen Aufgaben. - Dataport verfügt über ein IT-Grundschutzkonformes Sicherheitsmanagementsystem mit definierten Prozessen nach dem BSI-Standard Dataport führt für jedes eigene automatisierte Verfahren der Datenverarbeitung eine Dokumentation. Dataport hat mit der Datenschutzleitlinie ausreichende Regelungen getroffen, die eine ordnungsgemäße Datenverarbeitung im Kundenauftrag unter Berücksichtigung datenschutzrechtlicher Vorschriften und unter Einhaltung der Grundschutzanforderungen gewährleisten sollen IT-Sicherheitsleitlinie Die IT-Sicherheitsleitlinie wurde in der Version 2.1 vorgelegt. Sie wurde von Dataport im März 2012 das letzte Mal überarbeitet und gilt für den gesamten Geschäftsbereich. Die Leitlinie enthält u.a. folgende Leitsätze für die IT-Sicherheit und die IT-Sicherheitsstrategie bei Dataport: - Der Dataport-Vorstand misst der IT-Sicherheit eine hohe Bedeutung bei und fördert den IT- Sicherheitsprozess, welcher die Herstellung, den Erhalt, die Entwicklung und Fortschreibung des Sicherheitsniveaus umfasst. - Der Vorstand trägt die Verantwortung für die IT-Sicherheit im Unternehmen. Die Führungskräfte verantworten die IT-Sicherheit jeweils für ihre Organisationseinheit. Das Herstellen und Erhalten der IT-Sicherheit liegt in der Verantwortung aller Mitarbeiterinnen und Mitarbeiter. - Informationen und Daten der Kunden und der Geschäftspartner sind gegen unberechtigte Kenntnisnahme und Veränderung sowie gegen Verlust geschützt, auch wenn sie keiner besonderen Geheimhaltung unterliegen. Kundendaten werden nach den erteilten Weisungen unter Berücksichtigung der gesetzlichen Vorgaben verarbeitet. - Die von Dataport genutzte IT-Infrastruktur ist durch technische und organisatorische Maßnahmen nach dem Stand der Technik vor Beschädigung, Zerstörung, Manipulation, Einschränkung oder Verlust ihrer Funktionalität und Vertraulichkeit geschützt. - Sicherheitsmaßnahmen für IT-Ressourcen und Daten sind hinsichtlich ihres Umfangs und ihrer Ausprägung auf Grund einer Risikobetrachtung so zu gestalten, dass höchstens ein beschriebenes und für vertretbar gehaltenes Restrisiko verbleibt. In der Regel erfolgt dies durch Herstellung und Erhalt des normalen IT-Sicherheitsniveaus nach den IT-Grundschutzkatalogen. - Die Herstellung des erforderlichen Sicherheitsniveaus erfolgt auf der Grundlage der internen Rollout-Richtlinie. - Das IT-Sicherheitsmanagement besteht aus der oder dem IT-Sicherheitsbeauftragten, der oder dem behördlichen Datenschutzbeauftragten, den IT-Sicherheitsmanagerinnen und -managern der Bereiche und Stabsstellen und den IT-Sicherheitskoordinatorinnen und -koordinatoren für Verfahren. Die Aufgaben und Funktionen der/des IT-Sicherheitsbeauftragten, der IT- Seite 21

22 Sicherheitsmanagerinnen und manager sowie der IT-Sicherheitskoordinatorinnen und -koordinatoren für Verfahren sind im IT-Sicherheits- und Datenschutz-Managementhandbuch beschrieben. - Für jedes Verfahren und IT-System werden die erforderlichen Sicherheitsmaßnahmen in einem IT-Sicherheitskonzept verbindlich beschrieben. Die IT-Sicherheitskonzepte werden regelmäßig durch die fachlich zuständige Stelle auf ihre Aktualität und Wirksamkeit geprüft. Dataport hat mit seiner IT-Sicherheitsleitlinie die Vorgaben der Grundschutzmaßnahme M Insbesondere wurde der Stellenwert für Informationssicherheit deutlich hervorgehoben IT-Sicherheitsrichtlinien für IT-Komponenten Für die IT-Systeme bzw. IT-Komponenten wurden jeweils gesonderte IT-Sicherheitsrichtlinien nach Gerätetyp gruppiert erstellt. Inhaltlich geben sie den Geltungsbereich an und enthalten Regelungen für eine sichere Administration. Die Regelungen sind in die Bereiche Planung, Umsetzung, Betrieb, Notfallvorsorge und Aussonderung untergliedert. Überwiegend wurden in den Richtlinien Regelungen getroffen, die die Grundschutzmaßnahmenumsetzung gewährleisten sollen. Die vorgelegten IT-Sicherheitsrichtlinien erfüllen die Grundschutzanforderungen. Es sind ausreichende Regelungen enthalten, die insbesondere den sicheren Einsatz und Betrieb der Clients und der zentralen Server vorschreiben Maßnahmenreport Für LIS wurden bei Dataport die Bausteine und Maßnahmen der Infrastruktur, der eingesetzten IT- Systeme und interne Netze aus dem Grundschutzkatalog in einem Report zusammengestellt. Der Report wurde unter Einsatz des Grundschutztools erstellt und ist aufgrund der komplexen Dataportstrukturen sehr umfangreich. Es wurden stichprobenartig die Bausteinzuordnung sowie die Maßnahmendokumentation überprüft: 1. Auffällig sind einige Bausteine der Schicht, die im Erläuterungstext für die Umsetzung der Maßnahmen lediglich auf andere Dokumente verweisen. 2. Dokumentation für Umsetzung der Maßnahmen ausführlicher beschrieben. Nicht alle Bausteine dieser Schicht enthalten jedoch in der Maßnahmendokumentation die vorgegebene Struktur ToDo, Umsetzung und Dokumentation sind überwiegend aussagekräftig zu ihrem Umsetzungsstand dokumentiert. Seite 22

23 Die Stichprobe hat ergeben, dass die Zuordnung der Bausteine und Maßnahmen korrekt umgesetzt wurde. Die Maßnahmendokumentation ist besonders in einzelnen Bausteinen ifende mit unterschiedlicher Ausprägung und Qualität festzustellen. Teilweise sind nur kurze Verweise auf Dokumente enthalten. Dies erschwert die Nachvollziehbarkeit der ordnungsgemäßen Umsetzung der Maßnahme, so dass eine interne Überprüfung im Rahmen von Sicherheitschecks oder Audits nur sehr eingeschränkt möglich ist. Gemäß dem BSI-Standard sollen die Ergebnisse des Basissicherheitschecks so dokumentiert werden, dass sie für alle Beteiligten nachvollziehbar sind und als Grundlage für die Umsetzungsplanung der defizitären Maßnahmen genutzt werden können (vgl. Tz des BSI-Standards 100-2). Empfehlung: Es sollte für die Maßnahmendokumentation eine einheitliche Struktur festgelegt werden. Die Umsetzung der Maßnahmen mit wenigen Sätzen nachvollziehbar erläutert werden. Hierzu zählen insbesondere die Bausteine B 1.6 Schutz B 1.13 Sensibilisierung und Schulung zur Informationssicherheit, B 1.14 Patch- B 1.15 Löschen und B 1.16 Anforderungsmanage Revisionskonzept Das Revisionskonzept wurde in der Version 1.1 vom vorgelegt. Es enthält Regelungen für die Umsetzung der internen Revision mit der Festlegung folgender Tätigkeiten: - Prüfung von Systemen auf Dokumentenkonformität, - Protokollierung administrativer Tätigkeiten auf Verständlichkeit und inhaltliche Plausibilität prüfen, - Kontrolle der eingerichteten Administratorenkonten anhand des Vergleichs von Soll- Dokumentation mit dem Ist-Stand, - Kontrolle der Einbindung von Servern in das Systemmanagement zur Sicherstellung der Überwachung der Windows-Protokolle, z.b. auf sicherheitsrelevante Ereignisse, - Kontrolle der administrativen Tätigkeiten bei der RDBMS-Administration anhand der Protokollierung der administrativen Tätigkeiten, - Kontrolle der IIS-Protokollierung auf ungewöhnliche Umstände. Darüber hinaus wurde in dem Dokument festgelegt, dass der Umfang der Revision innerhalb eines Jahres einen repräsentativen Querschnitt der Systeme erreichen soll. Ferner wurde dargestellt, wie die Ergebnisse der Revision in einer automatisierten Datenbank zu dokumentieren sind (siehe Abbildung 2). Seite 23

24 Abbildung 2: Datenbank für die Dokumentation der Revisionstätigkeiten Das Revisionskonzept enthält grundschutzkonforme Regelungen, die für eine regelmäßige Überprüfung der IT-Sicherheit gefordert werden. Das Konzept entspricht den Anforderungen des BSI- Standards Textziffer Vorortprüfung Statistikamt Nord Überprüfung der Wirksamkeit des IT-Sicherheitsmanagements Ein IT-Sicherheitsmanagement (ITSM) ist beim Statistikamt Nord eingerichtet und in Funktion. Es verfügt darüber hinaus über formelle Regelungen zum Datenschutz. Die Aufgaben des Datenschutz- und IT-Sicherheitsbeauftragten werden in Personalunion wahrgenommen. Die Ergebnisse der Sitzungen des ITSM werden dokumentiert. Die Leitungsebene ist als Berichtsempfänger der Protokolle eingebunden. Der Sicherheitsprozess für LIS ist implementiert. Das IT-Sicherheitsmanagement wird von der für LIS zuständigen Fachabteilung rechtzeitig über Verfahrensveränderungen informiert. Seite 24

25 4.5.2 Hard- und Softwareeinsatz Das Statistikamt Nord setzt LIS auf den bereitgestellten Servern bei Dataport ein. Darüber hinaus werden auch beim Statistikamt Nord zwei Server für den Freigabeprozess der Daten sowie für die automatisierte Gewährleistung des Statistikgeheimnisses eingesetzt. Der Dienstleister Dataport ist insbesondere für - die Bereitstellung der physikalischen Infrastruktur, - die Administration der Server und ihrer Betriebssysteme, - die Administration der Datenbank sowie - die Netze und Netzverbindungen zuständig. Die Umsetzung von Grundschutzmaßnahmen erfolgte auf Basis der 11. Ergänzungslieferung der IT-Grundschutzkataloge des BSI. Die Ergebnisse der Maßnahmenumsetzung wurden im Rahmen eines Basissicherheitschecks (Soll-Ist-Abgleich) mit Hilfe des Grundschutztools dokumentiert. Der Einsatz der IT-Komponenten konnte über die Dokumentation vor Ort nachvollzogen werden. Es gab keine Abweichungen zum Ist-Bestand. Es fand zum Zeitpunkt der Begutachtung die aktuelle Fassung der Grundschutzkataloge auf die IT-Komponenten Anwendung. Abbildung 3: Komponentenliste der IT-Systeme im Statistikamt Nord Seite 25

26 4.5.3 Maßnahmenumsetzung Allgemeiner Server Für die Überprüfung der Maßnahmenumsetzung wurde die Systemdokumentation für die beim Statistikamt Nord betriebenen Server vorgelegt. Darüber hinaus wurden das Doku - Passwortspezifikation und ereitgestellt. Die B Allge B srv- auf ihre vollständige Umsetzung überprüft. Die im Grundschutztool dokumentierten Maßnahmen für die Bausteine B Allgemeiner Serund B ten mit den Feststellungen vor Ort überein. Entsprechend der Maßnahmendokumentation im Grundschutztool lag noch keine Sicherheitsrichtlinie für die Installation, den Betrieb und die Aussonderung von Servern vor. Außerdem wurden Systemanforderungen, Berechtigungen und administrative Tätigkeiten auf den zentralen Servern noch nicht dokumentiert. Empfehlung: Noch nicht vollständig umgesetzte Maßnahmen sollten zeitnah umgesetzt werden Maßnahmenumsetzung Allgemeiner Client B B Allge Notebook auf ihre vollständige Umsetzung überprüft. Bei den überprüften Maßnahmen wurden folgende Abweichungen festgestellt: - Eine Regelung für die Verwendung von Wechselmedien (USB) bestand nicht. - Auf dem Notebook war keine Festplattenverschlüsselung eingesetzt. Empfehlung: Für den Einsatz von Notebooks sind die abweichenden Maßnah B Allge- B dass auf mobilen Systemen durchgängig Verschlüsselungsmechanismen Anwendung finden Maßnahmenumsetzung LIS-Kernapplikation Für LIS wurden mehrere benutzerdefinierte Bausteine mit gesonderten Maßnahmen erstellt und festgelegt. Überprüft wurde stichprobenartig der - Seite 26

27 mit den in Abbildung 4 aufgelisteten Maßnahmen. Abbildung 4: Benut - im Grundschutztool Die überprüften benutzerdefinierten Maßnahmen werden korrekt umgesetzt LIS Berechtigungskonzept Überprüft wurden einzelne Abläufe des Berechtigungskonzepts. Das Verfahren LIS verfügt über eine eigene verfahrensinterne Benutzerverwaltung, die im Rahmen der Vorortprüfung gesichtet wurde. Für die Vergabe von Benutzerrechten bestehen Vorgaben, die im Berechtigungskonzept verbindlich festgeschrieben sind. Nur autorisierte Personen der Fachabteilungen dürfen Aufträge für Berechtigungen im LIS erteilen. Die Aufbewahrung der Aufträge erfolgt im zentralen Postfach der Fachadministration. Änderungen von Zugriffsrechten auf Datengruppen werden zudem im Logbuch (Excel-Tabellen) der jeweiligen Datengruppe dokumentiert. Ferner erfolgt eine verfahrensseitige Protokollierung administrativer Tätigkeiten. Die Benutzerpasswörter haben eine Länge von 5 Zeichen, eine Gültigkeitsdauer von 50 Tagen und dürfen sich bei einer Änderung nicht unmittelbar wiederholen. Während der Begutachtung wurde eine Anpassung der Passwortsicherheit auf 8 Zeichen als Minimum mit Komplexitätsvorgaben beim Hersteller beauftragt; die entsprechende Regelung wurde in dem Dokument - Passwortspezifikation und - angepasst. Seite 27

28 Für die Passwörter der Fachadministratoren war die Gültigkeitszeitbegrenzung zum Zeitpunkt des Interviews deaktiviert. Die beschriebenen Regelungen im Berechtigungskonzept werden vollständig umgesetzt. Empfehlung: Die Anpassung bzw. Erweiterung der Passwortrichtlinien sollte zügig umgesetzt werden LIS Protokollierung Die Dokumentation der hausinternen Aufträge der Fachabteilungen erfolgt manuell in einer Excel- Tabelle oder über an die LIS-Fachabteilung. Die Funktion einer vom LIS durchgeführten Protokollierung administrativer Tätigkeiten wurde erst zum Zeitpunkt der Begutachtung freigeschaltet und wies deshalb noch keine prüfenswerten Einträge auf. Geplant ist eine LIS-interne Verwaltung der Auftragsberechtigten, um den dezentral arbeitenden LIS-Administratoren eine konsistente und aktuelle Übersicht zu ermöglichen. Aktuell pflegen die LIS-Administratoren entsprechende Listen in ihrem eigenen Bestand. Eine jährliche stichprobenartige Revision der Berechtigungen und ihrer Änderungen sowie der protokollierten administrativen Tätigkeiten ist laut Berechtigungskonzept seit November 2011 vorgesehen und soll im Verlauf des Jahres 2012 erstmalig durchgeführt werden. Die Protokollierungsfunktionen können individuell eingestellt werden und sind für die Nachvollziehbarkeit der administrativen Aktivitäten ausreichend. Empfehlung: Die Revision der administrativen Aktivitäten sollte in regelmäßigen Abständen von der LIS- Fachabteilung durchgeführt werden Trennung der Datenbestände Kern-LIS und Online-DB Für die Bereitstellung der öffentlichen Datenbestände der LIS-Onlinedatenbank wird der Server -srv- D - berechnet die Geheimhaltungsmerkmale über ein festgelegtes Verfahren Auf Basis dieser Merkmale werden die Datensätze auf dem Ser- -srv- nicht-personenbeziehbar aufbereitet -srv- n Fachabteilungen zur Freigabe zur Verfügung gestellt. Nach einer Qualitätsprüfung und Freigabe erfolgt der Import der Daten in die Produktivdatenbank bei Dataport über einen automatisierten Importjob. Seite 28

29 Die LIS-Onlinedatenbank wird auf einem dedizierten Server bei Dataport eingesetzt. Die LIS- Fachabteilung überprüft zunächst die aus den Ursprungsdatensätzen aggregierten Daten auf dem internen tala-srv- ; erst nach einer Prüfung werden die nunmehr aggregierten Daten in die LIS-Onlinedatenbank transferiert. Eine physikalische Trennung der Datenbestände wird somit gewährleistet. 4.6 Vorortprüfung Dataport Überprüfung der Wirksamkeit des IT-Sicherheitsmanagements Das IT-Sicherheitsmanagement besteht bei Dataport aus dem zentralen IT-Sicherheitsbeauftragten sowie aus den bereichsbezogenen IT-Sicherheitskoordinatoren. Die Überprüfung und Kontrolle der mit Dataport diesbezüglich vertraglich vereinbarten Regelungen wurde im Rahmen der Vorortprüfung kontrolliert. Die Regelungen in der Dataport IT-Sicherheitsleitlinie wurden umgesetzt (vgl. Tzn und 4.4.2). Es konnten im Rahmen der stichprobenartigen Überprüfung keine Abweichungen festgestellt werden Überprüfung der Umsetzung der Dataport-Datenschutzleitlinie Die Datenschutzleitlinie wurde stichprobenartig vor Ort auf ihre Einhaltung des Berechtigungskonzepts und der revisionssicheren Protokollierung überprüft (vgl. Tz ). Exemplarisch wurden die vergebenen Administrationsrechte auf dem Server WSCD0202 durch eine Remote-Aufschaltung gesichtet (Ist). Folgende administrative Rechteinhaber wurden vom System angezeigt: <nur zur internen Verwendung> Die vom Statistikamt Nord beauftragten Administratorengruppen und administrativen Einzelberechtigungen für die einzelnen Systeme wurden während des Interviews in digitaler Form (eingescannte Dokumente) durch Dataport bereitgestellt und gesichtet (Soll). Weiterhin wurde festgestellt, dass die LIS-Systeme noch nicht in die Administrationsplattform von Dataport eingebunden sind. Daher erfolgt die Protokollierung der administrativen Zugriffe manuell über das Worklog. Das Worklog ist ein Modul der Serverdatenbank, das Einträge einmalig schreibend aufnimmt. Automatisierte Jobs schreiben ihre Durchführung ebenfalls in dieses Log. Die Einträge im Worklog wurden vor Ort stichprobenartig in der Serverdatenbank gesichtet und mit entsprechenden Kundenaufträgen bzw. Changes abgeglichen. Seite 29

30 Der Soll-Ist-Vergleich der Berechtigungen hat ergeben, dass zwischenzeitlich von Dataport die Administratorengruppen umbenannt und umstrukturiert wurden. Eine Abstimmung mit dem Statistikamt Nord fand offenbar nicht statt, so dass die Datenschutzrichtlinie bezüglich der Regelung in Tz. 3.3 nur unzureichend beachtet wurde. Die administrativen Zugriffe sowie Veränderungen wurden revisionssicher protokolliert. Die geprüften Punkte der Datenschutzrichtlinie wurden umgesetzt. Empfehlung: Die Kommunikationsprozesse zwischen dem Statistikamt Nord und Dataport sind bei technischen und organisatorischen Veränderungen am LIS zu verbessern Überprüfung der Umsetzung der Sicherheitsrichtlinie Datenbanken und Datenbankserver Die Sicherheitsrichtlinie wurde stichprobenartig vor Ort auf ihre Einhaltung der Protokollierung, des Patchmanagements und des Rollen-Rechte-Konzepts überprüft. Dabei wurden folgende Regelungen vor Ort - Das Protokollverzeichnis des DBMS ist durch Dateisystemberechtigungen vor unbefugten Zugriffen zu schützen. - Die Protokollierung von administrativen Tätigkeiten ist gemäß Dokumentations- und Protokollierungskonzept durchzuführen. - Die Protokolldateien sind nach Ablauf der Aufbewahrungsfrist zu löschen. Die Aufbewahrungsfrist ist standardmäßig auf 1 Jahr festgelegt. - Die RDBMS dürfen nur in Produktversionen betrieben werden, die vom Hersteller unterstützt werden. - Sicherhei - In der Datenbank ist ein rollenbasiertes Rechtekonzept umzusetzen. Es sind Rollen für RDBMS- Administratoren, DB-Administratoren und Datenbank-Benutzer einzurichten. Festgestellt wurde ein eingespieltes WinSecPatch vom Durchgeführte Änderungen an der Datenbank werden wie alle administrativen Tätigkeiten an den LIS-Systemen manuell im Worklog dokumentiert. Die Datenbankserver sind in das Active-Directory eingebunden. Der Zugriff auf sie erfolgt im Rahmen der Berechtigungsgruppen. Bei zwei lokalen administrativen Benutzern handelt es sich um sogenannte Built-in-Administrationskonten, die spezifisch angepasst als Notfallaccounts dienen. Darüber hinaus bestehen zwei weitere administrative Datenbankbenutzer. Einer dieser Benutzer ist zu strukturellen Änderungen der Datenbank berechtigt, wie sie zum Beispiel im Zuge von Updateversionen erforderlich sind. Der andere Benutzer wird programmseitig verwendet. Er dient Datenimporten und ermöglicht Zugriffe des Statistikamtes. Seite 30

31 Die Datenbankbenutzer / Anwender werden durch die Verfahrensadministratoren des Statistikamtes Nord in einer verfahrensinternen Benutzerverwaltung betreut. Während Begutachtung wurde das Statistikamt Nord von Dataport darüber informiert, dass mit dem bevorstehenden Umzug des Rechenzentrums in 2013 eine Migration der Serverkomponenten auf Windows Server 2008 und Oracle 11.2 angestrebt wird. Zeitgleich soll die Einbindung der Systeme in die Administrationsplattform des Auftragnehmers erfolgen. Die geprüften Regelungen der Sicherheitsrichtlinie werden eingehalten. Es wurden keine Abweichungen festgestellt Überprüfung der Umsetzung der Sicherheitsrichtlinie Windows-Clients Die Sicherheitsrichtlinie wurde stichprobenartig vor Ort auf ihre Einhaltung folgender Regelungen überprüft: - Grundsätzlich können alle Modelle der Modelllinien 1 und 2 für Administrationszwecke genutzt werden. - Die Modelllinie 2 ist jedoch nur in begründeten zwingenden Ausnahmefällen zugelassen, sofern das IT-Sicherheitsmanagement hierzu seine Zustimmung erteilt hat. - Für die Administrationsclients sind aufgrund erhöhter Schutzanforderungen (Schutzbedarfskategorie hoch) folgende Maßnahmen umzusetzen: a. VPN-Tunnel für die Kommunikation, b. Festplattenverschlüsselung, c. Verbindungsaufnahme über Besitz und Wissen in Form eines persönlichen Zertifikats auf einem E-Token. Die Regelungen wurden auf ihre korrekte Umsetzung an verschiedenen Administrationsclients in der Dataport-Fachabteilung kontrolliert. Es wurden keine Abweichungen festgestellt Überprüfung der Umsetzung des Revisionskonzepts Im Revisionskonzept werden detailliert die auszuführenden Tätigkeiten, zuständigen Revisoren, Revisionszeiträume und der Revision zugrundeliegenden Dokumentationen aufgeführt. Da bisher keines der LIS-Systeme von einer Revisionsstichprobe direkt betroffen war, wurde die Umsetzung des Revisionskonzeptes generell betrachtet. Hierzu wurden in der Serververwaltung (Server- gkei mit einem Zugang des ITSM die Dokumentation und Vorgaben von Revisionstätigkeiten überprüft Seite 31

32 (siehe Tz ). Die geprüften Regelungen des Revisionskonzepts wurden eingehalten. Es wurden eine planmäßige Qualitätssicherung der Revisionstätigkeiten und die Fortschreibung von Betriebs- und Revisionsvorgaben durchgeführt sowie die festgelegten Revisionszyklen beachtet Changemanagement Während der Vorortprüfung wurde das Changemanagement in die Begutachtung mit einbezogen, da Berührungspunkte zu den Prüfpunkten Berechtigungskonzept, Protokollierung und Revision bestanden. Es wurde Folgendes festgestellt: - Änderungsaufträge des Statistikamtes Nord ergehen per an Dataport. - Es werden lediglich die hierzu berechtigten und hinterlegten Absender akzeptiert. - Aufträge anderer müssen zunächst durch die Berechtigten bestätigt werden. - Nach Erhalt der Aufträge erfolgt eine interne Kategorisierung durch Dataport bei der Aufnahme in das Ticketsystem. Die LIS-bezogenen Aufträge wurden während des Vororttermins online gesichtet. Sie enthalten mit Datum, Auftragsnummer, TicketID, Priorisierung, Kategorisierung, Auftraggeber und Beschreibung sowie die für den Bearbeitungsverlauf alle zur Bearbeitung und zum Nachvollziehen notwendigen Informationen. Zum Zeitpunkt der Begutachtung war es dem Statistikamt Nord nur auf Nachfrage möglich, den aktuellen Bearbeitungsstand zu erfahren. Eine direkte Zugriffsmöglichkeit mit Sicht auf die eigenen erteilten Aufträge soll im neuen Rechenzentrum ab 2013 realisiert werden. Die erteilten Aufträge können revisionssicher nachvollzogen werden. Es wurde keine Abweichung festgestellt LIS Betriebskonzept Das Betriebskonzept für die LIS-Server befand sich derzeit bei Dataport noch in der Entwicklung. Nach Fertigstellung soll eine Herausgabe an das Statistikamt Nord möglich sein. Als internes Dokument konnte eine Vorversion des Dokumentes LISDB-Serverdoc gesichtet werden, die jedoch nicht in die Begutachtung mit einbezogen wurde. 4.7 Datenschutzrechtliche Bewertung D wurde während der Implementierung des IT- Grundschutzstandards vom Hamburgischen Beauftragten für Datenschutz und Informationsfrei- Seite 32

33 heit (HmbBfDI) datenschutzrechtlich begleitet. Dem HmbBfDI wurden im Rahmen einer Präsentation das LIS vorgestellt und die Dokumentation zur Verfügung gestellt. Mit Schreiben vom 26. April 2012 teilte der HmbBfDI mit, dass gegen das Modul LIS- Onlinedatenbank keine rechtlichen Bedenken mehr bestehen, sofern die Verfahrensabläufe und Dokumentationen wie beschrieben zur Anwendung kommen (siehe Anlage). Kiel, gez.: Anke Nöbel Seite 33

34 Anlage: Schreiben des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit Seite 34

35 Seite 35

Datenschutz-Leitlinie

Datenschutz-Leitlinie Datenschutz- Regelungsverantwortlich: Reinhard Schmid; SV 3 Version: 1.7.0 vom: 08.01.2015 Status: Gültig Dokumenttyp: Aktenzeichen: Schutzstufe: Zielgruppe: ggf. eingeben keine Schutzstufe Kunden, Dataport

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Freigabedatum: Freigebender: Version: Referenz: Klassifikation: [Freigabedatum] Leitung 1.0 DSMS 01-02-R-01 Inhaltsverzeichnis 1 Ziel...

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

Gutachten. Verarbeitung personenbezogener Daten mit IT-Systemen in der Stadtverwaltung Bad Schwartau. zur Reauditierung

Gutachten. Verarbeitung personenbezogener Daten mit IT-Systemen in der Stadtverwaltung Bad Schwartau. zur Reauditierung Gutachten zur Reauditierung im Rahmen des Auditverfahrens gemäß 43 Abs. 2 LDSG Verarbeitung personenbezogener Daten mit IT-Systemen in der Stadtverwaltung Bad Schwartau Auditor: Heiko Behrendt Unabhängiges

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

(IT-SICHERHEITSGRUNDSÄTZE)

(IT-SICHERHEITSGRUNDSÄTZE) Senatsverwaltung für Inneres und Sport 1 GRUNDSÄTZE ZUR GEWÄHRLEISTUNG DER NOTWENDIGEN SICHERHEIT BEIM IT-EINSATZ IN DER BERLINER VERWALTUNG (IT-SICHERHEITSGRUNDSÄTZE) (beschlossen vom Senat am 11.12.07)

Mehr

Beraten statt prüfen Behördlicher Datenschutzbeauftragter

Beraten statt prüfen Behördlicher Datenschutzbeauftragter Beraten statt prüfen Behördlicher Datenschutzbeauftragter Bestellpflicht zum Datenschutzbeauftragten Nach den Vorgaben aller Landesdatenschutzgesetze müssen öffentliche Stellen des Landes grundsätzlich

Mehr

Hinweise zur Vorabkontrolle nach 9 Landesdatenschutzgesetz Schleswig-Holstein (LDSG)

Hinweise zur Vorabkontrolle nach 9 Landesdatenschutzgesetz Schleswig-Holstein (LDSG) Hinweise zur Vorabkontrolle nach 9 Landesdatenschutzgesetz Schleswig-Holstein (LDSG) I. Grundsätzliches zur Vorabkontrolle Vor dem Einsatz von Gemeinsamen Verfahren und Abrufverfahren ( 8 Abs. 1 LDSG)

Mehr

Das Führen eines Verfahrensverzeichnisses (auch bei gemeinsamen Verfahren und bei gemeinsamen Verfahren mit zentraler Stelle)

Das Führen eines Verfahrensverzeichnisses (auch bei gemeinsamen Verfahren und bei gemeinsamen Verfahren mit zentraler Stelle) Das Führen eines Verfahrensverzeichnisses (auch bei gemeinsamen Verfahren und bei gemeinsamen Verfahren mit zentraler Stelle) Version 1.0 Ausgabedatum 20. März 2013 Status in Bearbeitung in Abstimmung

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

BSI Technische Richtlinie

BSI Technische Richtlinie Seite 1 von 13 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: De-Mail Sicherheit Modulübergreifend Anwendungsbereich: Kürzel: BSI De-Mail TR 01201

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Datenschutz- und IT-Sicherheitsmanagement (ISMS) als Grundlage für Big Data Heiko Behrendt ISO 27001 IT-Grundschutzauditor

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Personal- und Kundendaten Datenschutz bei Energieversorgern

Personal- und Kundendaten Datenschutz bei Energieversorgern Personal- und Kundendaten Datenschutz bei Energieversorgern Datenschutz bei Energieversorgern Datenschutz nimmt bei Energieversorgungsunternehmen einen immer höheren Stellenwert ein. Neben der datenschutzkonformen

Mehr

2.4.7 Zugriffsprotokoll und Kontrollen

2.4.7 Zugriffsprotokoll und Kontrollen 2.4.7 Zugriffsprotokoll und Kontrollen Die Vermeidung der missbräuchlichen Nutzung von personenbezogenen oder personenbeziehbaren Daten ist ein Kernpunkt der Regelungen zum Einsatz von Personalinformationssystemen.

Mehr

Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform. durch die Prüfstelle. greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg

Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform. durch die Prüfstelle. greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform durch die Prüfstelle greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg Dokumententitel: Erteilung des Datenschutz-Siegels Datenschutzkonform

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-5 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen SLA Software Logistik Artland GmbH Friedrichstraße 30 49610 Quakenbrück für das IT-System Meat Integrity Solution

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

3 Juristische Grundlagen

3 Juristische Grundlagen beauftragter - Grundlagen Ziele: Einführung in das recht Kennen lernen der grundlegenden Aufgaben des beauftragten (DSB) Praxishinweise für die Umsetzung Inhalte: Ziele des es Zusammenarbeit mit Datensicherheit/IT-Sicherheit

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports 1. Anwendungsbereich Im Rahmen des Supports für das JURION Portal, die jdesk-software einschließlich

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

Handreichung für Datenschutzbeauftragte

Handreichung für Datenschutzbeauftragte Handreichung für Datenschutzbeauftragte Thema: Strukturierungsvorschlag für eine datenschutzkonforme Dokumentation nach LDSG und (neuer) DSVO Stand: 31.08.2009 Die überarbeitete Landesverordnung über die

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

Verarbeitung personenbezogener Daten bei Errichtung und Betrieb von Verzeichnisdiensten

Verarbeitung personenbezogener Daten bei Errichtung und Betrieb von Verzeichnisdiensten Verarbeitung personenbezogener Daten bei Errichtung und Betrieb von Verzeichnisdiensten Matthias Herber Datenschutzbeauftragter der TU Dresden Kontakt: datenschutz@tu-dresden.de AK Verzeichnisdienste Duisburg,

Mehr

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter Beraten statt prüfen Betrieblicher Datenschutzbeauftragter Bestellpflicht zum Datenschutzbeauftragten Nach 4 f Bundesdatenschutzgesetz (BDSG) müssen Unternehmen einen betrieblichen Datenschutzbeauftragten

Mehr

1. Bestellung eines behördeninternen Datenschutzbeauftragten ( 10a ThürDSG)

1. Bestellung eines behördeninternen Datenschutzbeauftragten ( 10a ThürDSG) Datenschutzrechtliche Anforderungen an Kommunen Die Bestimmungen des ThürDSG gelten für die Verarbeitung und Nutzung personenbezogener Daten durch die Behörden, die Gerichte und die sonstigen öffentlichen

Mehr

!"#$ %!" #$ % " & ' % % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 5 )/ )

!#$ %! #$ %  & ' % % $ (  ) ( *+!, $ ( $ *+!-. % / ). ( , )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 $$ $ 4 9$ 4 5 )/ ) !"#$ %!" #$ % " & ' % &$$'() * % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 % / $-,, / )$ "$ 0 #$ $,, "$" ) 5 )/ )! "#, + $ ,: $, ;)!

Mehr

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI)

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Hinweise zur Vorabkontrolle nach dem Berliner Datenschutzgesetz (BlnDSG) Das am 30.7.2001 novellierte Berliner Datenschutzgesetz

Mehr

Anlage zum Vertrag vom. Auftragsdatenverarbeitung

Anlage zum Vertrag vom. Auftragsdatenverarbeitung Anlage zum Vertrag vom Auftragsdatenverarbeitung Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Dienstvertrag/Werkvertrag (Hauptvertrag)

Mehr

Datenschutzrechtliche Anforderungen an die Tätigkeit der Systemadministratoren (in Staatsanwaltschaften)

Datenschutzrechtliche Anforderungen an die Tätigkeit der Systemadministratoren (in Staatsanwaltschaften) Datenschutzrechtliche Anforderungen an die Tätigkeit der Systemadministratoren (in Staatsanwaltschaften) Uwe Jürgens 09.11.2004 c/o Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein - 2-1.

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit Informationssicherheitsmanagement BSI- Grundschutz in der Praxis Informationssicherheit nach BSI-Grundschutz und ISO 27001 im Praxisvergleich Cyber Akademie

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Amtliche Mitteilungen

Amtliche Mitteilungen Amtliche Mitteilungen Datum 26. Juli 2011 Nr. 25/2011 I n h a l t : Leitlinien zur Informationssicherheit der Universität Siegen Vom 26. Juli 2011 Herausgeber: Rektorat der Universität Siegen Redaktion:

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

IT Sicherheitsleitlinie der DATAGROUP

IT Sicherheitsleitlinie der DATAGROUP IT Sicherheitsleitlinie der DATAGROUP Dezember 2011 Dr. Tobias Hüttner Version 2.0 Seite 1 von 5 Änderungshistorie IT Sicherheitsleitlinie der DATAGROUP In der nachfolgenden Tabelle werden alle Änderungen

Mehr

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,

Mehr

Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen

Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen Datenschutz in Pharmaunternehmen Bei Pharmaunternehmen stehen neben der Verarbeitung eigener Personaldaten vor allem die Dokumentation

Mehr

Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen

Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen Datenschutz und Datensicherheit in Schulverwaltungssystemen Fachtagung Datenschutz in der mediatisierten Schule, 23. und 24. Oktober 2014 Kay Hansen Rechtsgrundlagen Personenbezogene Daten Datenschutz

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2-4

Mehr

Personal- und Patientendaten Datenschutz in Krankenhäusern

Personal- und Patientendaten Datenschutz in Krankenhäusern Personal- und Patientendaten Datenschutz in Krankenhäusern Datenschutz in Krankenhäusern In Krankenhäusern stehen neben der datenschutzkonformen Speicherung eigener Personaldaten vor allem die Verarbeitung

Mehr

BSI Grundschutz beim Brandenburgischen IT-Dienstleister. Bernd Birkholz Telefon: 0331-39567 E-Mail: bernd.birkholz@zit-bb.brandenburg.

BSI Grundschutz beim Brandenburgischen IT-Dienstleister. Bernd Birkholz Telefon: 0331-39567 E-Mail: bernd.birkholz@zit-bb.brandenburg. BSI Grundschutz beim Brandenburgischen IT-Dienstleister Telefon: 0331-39567 E-Mail: bernd.birkholz@zit-bb.brandenburg.de Gründung des Brandenburgischen IT-Dienstleisters zum 1.1.2009 Errichtungserlass

Mehr

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer

Mehr

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012 ISi Ihr Berater in Sachen Datenschutz und IT-Sicherheit 01 Berlin, August 2012 Vorstellung ISiCO 02 Die ISiCO Datenschutz GmbH ist ein spezialisiertes Beratungsunternehmen in den Bereichen IT-Sicherheit,

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Personal- und Kundendaten Datenschutz in Werbeagenturen

Personal- und Kundendaten Datenschutz in Werbeagenturen Personal- und Kundendaten Datenschutz in Werbeagenturen Datenschutz in Werbeagenturen Bei Werbeagenturen stehen neben der Verarbeitung eigener Personaldaten vor allem die Verarbeitung von Kundendaten von

Mehr

- Orientierungshilfe Mandantenfähigkeit -

- Orientierungshilfe Mandantenfähigkeit - Technische und organisatorische Anforderungen an die Trennung von automatisierten Verfahren bei der Benutzung einer gemeinsamen IT-Infrastruktur - Orientierungshilfe Mandantenfähigkeit - Version 1.0 vom

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts. Datensicherheit im Unternehmen

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts. Datensicherheit im Unternehmen Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Datensicherheit im Unternehmen Feinwerkmechanik-Kongress 2014 Nürnberg 7. und 8. November Heiko Behrendt ISO

Mehr

diesem Thema von Herrn Dr. Peter Münch, dem ich hiermit für seine Unterstützung bei der Gestaltung des vorliegenden Tools herzlich danke.

diesem Thema von Herrn Dr. Peter Münch, dem ich hiermit für seine Unterstützung bei der Gestaltung des vorliegenden Tools herzlich danke. Vorbemerkungen 1 Mit dem Tool»Datenschutzaudit nach BSI Grundschutz«wurde ein Management-Tool vorgestellt, das es ermöglicht, einen Überblick über den Gesamtzustand einer Datenschutzorganisation unter

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen......... - Auftraggeber - und yq-it GmbH Aschaffenburger Str. 94 D 63500 Seligenstadt - Auftragnehmer

Mehr

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Hinweise zum Erstellen eines Verfahrensverzeichnisses Hinweise zum Erstellen eines Verfahrensverzeichnisses Eine Information des Datenschutzbeauftragten der PH Freiburg Stand: 11.03.2010 Inhalt Hinweise zum Erstellen eines Verfahrensverzeichnisses... 1 Vorbemerkung...

Mehr

Programm. Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land)

Programm. Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land) Programm Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land) Veranstaltungsnummer: 2015 Q053 MO (3. Modul) Termin: 01.12. 02.12.2015 (3. Modul) Zielgruppe: Tagungsort: Künftige

Mehr

Amtliche Bekanntmachung

Amtliche Bekanntmachung Amtliche Bekanntmachung Nr. 1 I ausgegeben am 04. Februar 2015 Satzung zur Einrichtung und zum Betrieb des Identitätsmanagements an der Pädagogischen Hochschule Karlsruhe vom 28. Januar 2015 Satzung zur

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

Interne Revision. Bericht gemäß 386 SGB III. Change-Management. Revision SGB III

Interne Revision. Bericht gemäß 386 SGB III. Change-Management. Revision SGB III Revision SGB III Bericht gemäß 386 SGB III Change-Management Inhaltsverzeichnis 1 Revisionsauftrag... 1 2 Zusammenfassung... 1 3 Revisionsergebnisse... 2 3.1 Prozessgestaltung... 2 3.1.1 Prozessmodell...

Mehr

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Zweck und Zielsetzung Die Anforderungen nach Bundesdatenschutzgesetz (BDSG) sowie der anderen Datenschutzgesetze

Mehr

Rezertifizierungsgutachten Einhaltung datenschutzrechtlicher Anforderungen durch das IT-Produkt

Rezertifizierungsgutachten Einhaltung datenschutzrechtlicher Anforderungen durch das IT-Produkt Rechtliches und Technisches Rezertifizierungsgutachten Einhaltung datenschutzrechtlicher Anforderungen durch das IT-Produkt - SQS -Testsuite für SAP HCM - der SQS Software Quality Systems AG, Stollwerckstraße

Mehr

Kurzgutachten. Auditverfahren gemäß 43 Abs. 2 LDSG. Dataport Informationssicherheits- Managementsystem (ISMS)

Kurzgutachten. Auditverfahren gemäß 43 Abs. 2 LDSG. Dataport Informationssicherheits- Managementsystem (ISMS) Kurzgutachten Auditverfahren gemäß 43 Abs. 2 LDSG Dataport Informationssicherheits- Managementsystem (ISMS) Datum : 27.08.2007 Aktenz. : 16.01/07.006 Telefon : 0431 988 1200 Fax : 0431 988 1223 E-Mail

Mehr

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT Jahresbericht 2015 über den Stand der Umsetzung Datenschutz Grundschutzes gemäß definiertem Schutzzweck bei der ecs electronic cash syländer gmbh Aichet 5 83137 Schonstett erstellt durch Lothar Becker

Mehr

ISO 27001 Zertifizierung

ISO 27001 Zertifizierung ISO 27001 Zertifizierung - Zertifizierte IT-Sicherheit nach internationalen Standards Trigonum GmbH Trigonum Wir machen Unternehmen sicherer und IT effizienter! - 2 - Kombinierte Sicherheit Datenschutz

Mehr

Aktive Schnittstellenkontrolle

Aktive Schnittstellenkontrolle Aktive Schnittstellenkontrolle Version 1.0 Ausgabedatum 05.03.2013 Status in Bearbeitung in Abstimmung Freigegeben Ansprechpartner Angelika Martin 0431/988-1280 uld34@datenschutzzentrum.de Inhalt 1 Problematik...2

Mehr

(IT-SICHERHEITSRICHTLINIE)

(IT-SICHERHEITSRICHTLINIE) Senatsverwaltung für Inneres 1 1 RICHTLINIE ZUR GEWÄHRLEISTUNG DER NOTWENDIGEN SICHERHEIT BEIM IT-EINSATZ IN DER BERLINER VERWALTUNG (IT-SICHERHEITSRICHTLINIE) Senatsverwaltung für Inneres Ressortübergreifendes

Mehr

Einsatz von Software zur Quellen-Telekommunikationsüberwachung 74. Sitzung des Innen- und Rechtsausschusses am 26. Oktober 2011, TOP 2

Einsatz von Software zur Quellen-Telekommunikationsüberwachung 74. Sitzung des Innen- und Rechtsausschusses am 26. Oktober 2011, TOP 2 ULD. Postfach 71 16. 24171 Kiel An den Innen- und Rechtsausschuss des Schleswig-Holsteinischen Landtags Düsternbrooker Weg 70 24105 Kiel Holstenstraße 98 24103 Kiel Tel.: 0431 988-1200 Fax: 0431 988-1223

Mehr

Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG. Torsten Hemmer Berlin, 15.

Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG. Torsten Hemmer Berlin, 15. Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG Torsten Hemmer Berlin, 15. September 2015 Agenda Vorstellung der GDV Dienstleistungs-GmbH (GDV-DL) Die Informationssicherheit

Mehr

Praktizierter Grundschutz in einem mittelständigen Unternehmen

Praktizierter Grundschutz in einem mittelständigen Unternehmen Praktizierter Grundschutz in einem mittelständigen Unternehmen Adolf Brast, Leiter Informationsverarbeitung Bochum-Gelsenkirchener Straßenbahnen AG auf dem 4. Stuttgarter IT-Sicherheitstag, 16.02.06 Überblick

Mehr

FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH

FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH FAQ zu Datenschutz, SLA und Datensicherheit PRODATA GmbH Hosting, Application Management und Geschäftsprozess-Outsourcing Datenschutzbeauftragter: Jens Wiesner Seite 1 1.1 Hosting 1.1.1 Räumliche Voraussetzungen

Mehr

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz 3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz Institut für Informatik und Automation Dipl.-Inf. Günther Diederich Institut für Informatik und Automation In-Institut der Hochschule

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

Vereinbarung zum Datenschutz und Datensicherheit im Auftragsverhältnis nach 11 BDSG

Vereinbarung zum Datenschutz und Datensicherheit im Auftragsverhältnis nach 11 BDSG Vereinbarung zum Datenschutz und Datensicherheit im Auftragsverhältnis nach 11 BDSG zwischen dem Auftraggeber (AG) und WVD Dialog Marketing GmbH onlinepost24 Heinrich-Lorenz-Straße 2-4 09120 Chemnitz -

Mehr

Thüringer Informationssicherheitsleitlinie für die Landesverwaltung

Thüringer Informationssicherheitsleitlinie für die Landesverwaltung Thüringer Informationssicherheitsleitlinie für die Landesverwaltung Vermerk Vertraulichkeit: Offen Inhalt: Einleitung und Geltungsbereich...3 1. Ziele der Informationssicherheit...4 2. Grundsätze der Informationssicherheit...4

Mehr

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel -

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel - Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 AUSWAHL EINES OUTSOURCING-DIENSTLEISTERS... 3 4 VERTRAGSSPEZIFISCHE

Mehr

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG Datensicherheit bei gem. 9 BDSG Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung nachfolgender technischer und organisatorischer Maßnahmen, die zur Einhaltung der anzuwendenden

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

Der Bürgermeister Drucksache-Nr. 26/15 1.2/10 50 van ö.s. X nö.s. In den Haupt- und Finanzausschuss (16.06.2015) / / In den Rat (23.06.

Der Bürgermeister Drucksache-Nr. 26/15 1.2/10 50 van ö.s. X nö.s. In den Haupt- und Finanzausschuss (16.06.2015) / / In den Rat (23.06. Der Bürgermeister Drucksache-Nr. 26/15 1.2/10 50 van ö.s. X nö.s. In den Haupt- und Finanzausschuss (16.06.2015) / / In den Rat (23.06.2015) / / Öffentlich-rechtliche Vereinbarung über die Bereitstellung

Mehr

Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG. Torsten Hemmer Berlin, 15.

Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG. Torsten Hemmer Berlin, 15. Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG Torsten Hemmer Berlin, 15. September 2015 Agenda Vorstellung der GDV Dienstleistungs-GmbH (GDV-DL) Die Informationssicherheit

Mehr

Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG:

Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG: Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG: Geprüftes Unternehmen: Firmenname: oberste Leitung; EDV-Abteilung: Datenschutzbeauftragter: Firmensitz: Niederlassungen: Prüfdaten: Prüfung

Mehr

LEISTUNGSBESCHREIBUNG

LEISTUNGSBESCHREIBUNG Auditierung eines IT-Sicherheitsmanagement Systems Human Internet CONSULT AG Kirchschlager Weg 8 71711 Murr Version: 1.0 Datum: 2006 Seiten: 8 INHALTSVERZEICHNIS 1 AUSGANGSSITUATION...3 2 AUDITIERUNG EINES

Mehr

DDV-SIEGEL. Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs-Unternehmen. www.ddv.de

DDV-SIEGEL. Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs-Unternehmen. www.ddv.de DDV-SIEGEL Sicherheit, Transparenz und Datenschutz Die Qualitätssiegel des DDV bei Adressdienstleistungs-Unternehmen www.ddv.de Setzen Sie auf Nummer Sicher Die Adressdienstleister in den beiden DDV-Councils

Mehr

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung Kooperationsgruppe Informationssicherheit des IT-PLR Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung - Hauptdokument - Stand 19.02.2013 Version 1.8 (10. IT-Planungsrat Beschluss

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr