Continum * Datensicherheitskonzept Dieses Dokument ist öffentlich. Weitergabe an Dritte, Kopie oder Reproduktion jedweder Form ohne vorherige schriftliche Zustimmung der Continum AG ist untersagt. Continum AG, Bismarckallee 7b-d, 79098 Freiburg. Abteilung(en): übergreifend. Dokumentenklasse: Konzept. Dateiname: RP_05.03.04_Datensicherheitskonzept. Aktuelle Version: v1.1. Datum: 20140310. Ersteller: she. Freigegeben am: 20140310. Freigegeben durch: vtm.
Versionshistorie Version Kürzel Datum Kommentar v1.0 she 20130910 Initiale Erstellung des Dokuments. v1.1 she 20140310 Inhaltliche Erweiterungen in den Abschnitten 5.2 und 5.3. 2
Inhaltsverzeichnis 1. Einleitung... 4 2. Regelung der Verantwortlichkeit... 4 3. Erläuterung Datenschutz vs. Datensicherheit... 4 4. Rechtsgrundlage... 5 5. Maßnahmen zur Datensicherheit... 6 5.1 Zutrittskontrolle... 6 5.2 Zugangskontrolle... 6 5.3 Zugriffskontrolle... 7 5.4 Weitergabekontrolle... 7 5.5 Eingabekontrolle... 8 5.6 Auftragskontrolle... 8 5.7 Verfügbarkeitskontrolle... 9 5.8 Datentrennung... 9 3
1. Einleitung Das vorliegende Dokument gibt Auskunft über die bei Continum getroffenen technischen und organisatorischen Maßnahmen zur Datensicherheit, zu deren Gewährleistung sich das Unternehmen nach 9 BDSG verpflichtet. 2. Regelung der Verantwortlichkeit Der/die betriebliche Datenschutzbeauftragte hat die Einhaltung der Regelungen des Datenschutzes sicherzustellen. Da sich im Bundesdatenschutzgesetz auch Vorschriften zur Datensicherheit finden, ist er hierfür ebenfalls mit zuständig. Für die Einhaltung der Maßnahmen im Bereich Datensicherheit ist jedoch primär der/die IT- Sicherheitsbeauftragte von Continum verantwortlich. Die verantwortlichen Mitarbeiter für die beiden Positionen sind namentlich in der aktuellen Continum-Rollenmatrix genannt. 3. Erläuterung Datenschutz vs. Datensicherheit Die Bereiche Datenschutz und Datensicherheit sind als Bereiche zwar getrennt voneinander zu behandeln, sie stehen jedoch in ergänzender Beziehung zueinander. Die folgende Tabelle soll beide Begriffe näher erläutern: Datenschutz Wer wird geschützt? Natürliche Personen und deren Daten. Welche Daten sind Personenbezogene Daten, d.h. gemeint? Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Dies sind alle Daten, die sich auf eine Person beziehen wie z.b. Name, Geburtsdatum, Adresse, aber auch Steuerdaten, Krankheiten, Einkaufsverhalten, Telefonverbindungsdaten, Internetabrufe, etc. Datensicherheit Unternehmen und dessen Hardware (Hard- und Software) sowie die auf ihr enthaltenen Daten. Alle Unternehmensdaten: Personaldaten, Kundendaten, also personenbezogene Daten. Darüber hinaus aber auch alle anderen Daten, die im Unternehmen verarbeitet werden, wie etwa Kalkulations- und Konstruktionsdaten, Daten aus der Fertigung, etc. Vor welcher Bedrohung soll geschützt werden? Verletzung von Persönlichkeitsrechten sowie Schäden aufgrund Informationsweitergabe. Datenverlust, Datenzerstörung, Missbrauch und Manipulation von Daten. 4
Während unter dem Begriff Datensicherheit jede Art von Daten gefasst werden können, die generell zu schützen sind, können personenbezogene Daten als spezifische Art von Daten verstanden werden, die unter der Obhut der gesetzlichen Regelungen des Datenschutzes stehen und für deren Schutz besondere sicherheitstechnische Maßnahmen umgesetzt werden müssen, wie im folgenden Abschnitt erläutert wird. 4. Rechtsgrundlage Die Rechtsgrundlage der Verpflichtung zur Datensicherheit bildet der bereits erwähnte 9 BDSG unter besonderer Berücksichtigung der Anlage (zu 9 Satz 1): 9 Technische und organisatorische Maßnahmen Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Anlage (zu 9 Satz 1) Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle Zutrittskontrolle), 2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle Zugangskontrolle), 3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle Zugriffskontrolle), 4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle Weitergabekontrolle), 5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle Eingabekontrolle), 6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle Auftragskontrolle), 5
7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle Verfügbarkeitskontrolle), 8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Datentrennung 1 ). Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren. Im Folgenden werden die einzelnen Punkte in Bezug auf die bei Continum getroffenen Maßnahmen erläutert. Für ausführlichere Informationen sind die jeweiligen Dokumente zu konsultieren, auf die in den einzelnen Abschnitten verwiesen wird. 5. Maßnahmen zur Datensicherheit 5.1 Zutrittskontrolle Continum hat die notwendigen Maßnahmen getroffen, um Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. Hierzu gehören: Alarmanlage Automatisches Zugangskontrollsystem Chipkarten-/Transponder-Schließsystem mit entsprechender Codesperre Manuelles Schließsystem Videoüberwachung der Zugänge Lichtschranken und Bewegungsmelder Sicherheitsschlösser, Gehäuseverriegelungen Schlüsselregelung (Schlüsselvergabe etc.) Personenkontrolle beim Empfang Protokollierung der Besucher Weitere Informationen zu den umzusetzenden Maßnahmen im Bereich der Zutrittskontrolle sind der entsprechenden Dokumentation ( Zutrittskontrollkonzept ) sowie den aktuellen Rechenzentrumsbeschreibungen zu entnehmen. 5.2 Zugangskontrolle Auch im Bereich der Zugangskontrolle erfüllt Continum die erforderlichen Maßnahmen, um zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können: Zuordnung von Benutzerrechten Erstellung von Benutzerprofilen Passwortvergabe Authentifikation mit Benutzername/Passwort Zuordnung von Benutzerprofilen zu IT-Systemen 1 Reaktionelle Ergänzung 6
Einsatz von VPN-Technologie Einsatz von Intrusion-Detection-Systemen Verschlüsselung von mobilen Datenträgern Einsatz von Anti-Viren-Software Verschlüsselung von Datenträgern in Laptops/Notebooks Einsatz von Firewall Hinweis: Für die Verschlüsselung von mobilen Datenträgern sowie Laptops wird das Programm Truecrypt mit dem AES (Advanced Encryption Standard) Algorithmus verwendet. Eingesetzt wird 256-Bit-Verschlüsselung. 5.3 Zugriffskontrolle Im Rahmen der Zugriffskontrolle werden die im Folgenden aufgezählten Maßnahmen umgesetzt, um zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Erstellung eines Berechtigungskonzepts Verwaltung der Rechte durch einen Systemadministrator Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten Sichere Aufbewahrung von Datenträgern Physische Löschung von Datenträgern vor Wiederverwendung Ordnungsgemäße Vernichtung von Datenträgern (DIN 66399) Einsatz von Aktenvernichtern Protokollierung der Vernichtung Verschlüsselung von Datenträgern 5.4 Weitergabekontrolle Folgende Maßnahmen sind im Rahmen der Weitergabekontrolle angemessen umzusetzen, um zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Einrichtung von Standleitungen bzw. VPN-Tunneln (projektspezifisch) Weitergabe von Daten in anonymisierter bzw. pseudonymisierter Form Dokumentation der Empfänger von Daten und der Zeitspannen der geplanten Überlassung bzw. vereinbarter Löschfristen 7
Beim physischen Transport: sichere Transportbehälter / -verpackungen Beim physischen Transport: sorgfältige Auswahl von Transportpersonal und fahrzeugen Weitere Informationen zu den umzusetzenden Maßnahmen im Bereich der Weitergabekontrolle sind der entsprechenden Richtlinie zum sicheren Umgang mit Datenträgern sowie der Richtlinie zum sicheren Datenträgeraustausch zu entnehmen. 5.5 Eingabekontrolle Um zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, finden folgende Maßnahmen ihre Umsetzung: Protokollierung der Eingabe, Änderung und Löschung von Daten Erstellen einer Übersicht, aus der sich ergibt, mit welchen Applikationen welche Daten eingegeben, geändert oder gelöscht werden können Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen) Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen worden sind Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts 5.6 Auftragskontrolle Es wird mit den entsprechenden Maßnahmen gewährleistet, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden. Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit) Vorherige Prüfung und Dokumentation der beim Auftragnehmer getroffenen Sicherheitsmaßnahmen Schriftliche Weisungen an den Auftragnehmer (z.b. durch Auftragsdatenverarbeitungsvereinbarung) i. S. d. 11 Abs. 2 BDSG. Verpflichtung der Mitarbeiter des Auftragnehmers auf das Datengeheimnis ( 5 BDSG) Auftragnehmer hat Datenschutzbeauftragten bestellt Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags Wirksame Kontrollrechte gegenüber dem Auftragnehmer vereinbart Laufende Überprüfung des Auftragnehmers und seiner Tätigkeiten Vertragsstrafe bei Verstößen 8
5.7 Verfügbarkeitskontrolle Es sind folgende Maßnahmen getroffen worden, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Unterbrechungsfreie Stromversorgung (USV) Klimaanlage in Serverräumen Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen Schutzsteckdosenleisten in Serverräumen Feuer- und Rauchmeldeanlagen Feuerlöschgeräte in Serverräumen Alarmmeldung bei unberechtigten Zutritten zu Serverräumen Erstellen eines Backup- / Recoverykonzepts Testen von Datenwiederherstellung Erstellen eines Notfallplans Aufbewahrung von Datensicherungen an einem sicheren, ausgelagerten Ort Serverräume nicht unter sanitären Anlagen 5.8 Datentrennung Continum hat die notwendigen Maßnahmen getroffen und gewährleistet, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern Erstellung eines Berechtigungskonzepts Verschlüsselung von Datensätzen, die zu demselben Zweck verarbeitet werden Versehen der Datensätze mit Zweckattributen / Datenfeldern Bei pseudonymisierten Daten: Trennung der Zuordnungsdatei und der Aufbewahrung auf einem getrennten, abgesicherten IT-System Festlegung von Datenbankrechten Trennung von Produktiv- und Testsystem 9