Technische und organisatorische Maßnahmen der ELK GmbH¶
1. Vorbemerkungen¶
Die Interaktion des Benutzers, nachfolgend Kunde genannt, mit der Softwareapplikation BappuNow ist aufgrund der Beschaffenheit des Systems die einzige Möglichkeit, mittels derer personenbezogene Daten verarbeitet werden können. Die Eingabe von personenbezogenen Daten erfolgt einzig durch den Kunden. Der Kunde entscheidet allein und ausschließlich darüber, welche personenbezogene Daten in welcher Weise verarbeitet werden. Abzüglich der zur Bearbeitung und Bereitstellung des Kundenauftrages, notwendigen Daten.
Innerhalb ihres Verantwortungsbereichs ergreift die ELK GmbH bei der Erhebung, Verarbeitung und Nutzung personenbezogener Kundendaten die nachfolgenden technischen und organisatorischen Maßnahmen.
Die Maßnahmenkategorien wurden in den jeweiligen Schutzbedarfszielen Vertraulichkeit, Integrität und Verfügbarkeit und Belastbarkeit untergeordnet.
2. Vertraulichkeit¶
2.1 Zutrittskontrolle¶
Die BappuNow läuft auf einem gemieteten Server von der Firma Host Europe GmbH. Mit dieser besteht ein Vertrag zur Auftragsverarbeitung. Die Firma ergreift die notwendigen Maßnahmen, um personenbezogene Daten, die auf ihren Systemen gespeichert sind, vor unbefugter Preisgabe zu schützen.
2.2 Zugangskontrolle¶
Die ELK GmbH ergreift unter anderem die folgenden Maßnahmen um die Nutzung von Datenverarbeitungsanlagen, mit denen Daten verarbeitet werden, durch Unbefugte zu verhindern: Sichere Zugangsverbindungen und Technologien zur Authentifizierungskontrolle sind implementiert, um den Zugang zu Produktivsystemen zu reglementieren. Die Verfahren zur Benutzerauthentifizierung wurden von der ELK GmbH auf Basis einer Risikobewertung getroffen und mögliche Angriffsszenarien wurden berücksichtigt (z. B. direkte Zugriffsmöglichkeit aus dem Internet). Zugriffsrestriktionen stützen sich auf einen verteilten Authentifizierungs-Service, basierend auf Secure Socket Layer (SSL) und Secure Shell (SSH). Dieser Service bietet zudem Verschlüsselungsmethoden, um die Datensicherheit bei der Übertragung zu gewährleisten. Verschlüsselungstechniken werden eingesetzt, um Benutzerauthentifizierungen und Administrator-Sessions über das Internet abzusichern.
Der Datenfernzugriff auf Produktionsmaschinen benötigt einen hinterlegten öffentlichen Schlüssel und ist nur für definierte IP-Adressen gestattet. Die ELK GmbH folgt einem formalen Prozess, um den Zugang zu Ressourcen der ELK GmbH zu erlauben oder zu verweigern. Verschiedene Zugangsschutzmechanismen helfen dabei, sichere und flexible Zugriffe bereitzustellen. Einmalige Benutzerkennungen, starke Passwörter und periodische Überprüfungen der Zugriffslisten sind vorhanden, um die angemessene Verwendung von Benutzerkonten zu gewährleisten.
Alle Mitarbeiter, die Zugang zu Services der ELK GmbH haben, unterlaufen einer regelmäßigen Überprüfung. Die Erteilung oder Bearbeitung von Zugriffsrechten basiert auf den Rollen-Verantwortlichkeiten des Benutzers oder auf einer Need-to-know-Basis und muss durch den zuständigen Vorgesetzten des Antragstellers autorisiert und bewilligt werden. Der Zugriff auf Produktivsysteme wird nur geschulten und für die jeweilige Aktion berechtigten Benutzern gewährt. Ebenso wird der Zugriff auf Produktivsysteme im Falle einer Kündigung umgehend entzogen.
2.3 Zugriffskontrolle¶
Die ELK GmbH ergreift unter anderem die folgenden Maßnahmen, um zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass gespeicherte oder in Verarbeitung befindliche Daten nicht von unbefugt gelesen, kopiert, verändert oder entfernt werden können: Der Zugriff auf die Administrationskonsole ist mittels Benutzername und Passwort auf den Nutzer beschränkt. Mitarbeiter der ELK GmbH nutzen ausschließlich individuelle Konten, eine Nutzung von Gruppenkonten durch Mitarbeiter der ELK GmbH findet nicht statt. Lesende Zugriffe und schreibende Zugriffe (einschließlich Löschung/Überschreiben) sowie unberechtigte Zugriffsversuche werden protokolliert.
2.4 Trennungskontrolle¶
Die ELK GmbH ergreift folgende Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können: Es erfolgt die logische und physikalische Trennung von Produktiv- und Test- und Entwicklungsumgebung. In der Test- und Entwicklungsumgebung werden nur synthetische Daten, also keine Echtdaten oder personenbezogene Daten, verarbeitet. Organisatorisch erfolgt die Trennungskontrolle über ein zentrales Berechtigungskonzept mit minimaler Anzahl an Administratoren und die Festlegung und Verwaltung von Datenbankrechten.
3. Integrität¶
3.1 Weitergabekontrolle¶
Die ELK GmbH ergreift unter anderem die folgenden Maßnahmen zur Gewährleistung, dass Daten bei der elektronischen Übertragung, während ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und zur Prüfung und Feststellung, an welche Stellen eine Übermittlung von Daten durch Einrichtungen zur Datenübertragung vorgesehen ist: Der Zugriff auf die Systeme unterliegt wirksamen Zugriffs- und Trennungskontrollen, die unter Ziffer 2.3 und 2.4 beschrieben sind.
3.2 Eingabekontrolle¶
Die ELK GmbH ergreift unter anderem die folgenden Maßnahmen um zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem Daten in Datenverarbeitungssystemen eingegeben, verändert oder entfernt worden sind: Alle Veränderungen der Daten werden protokolliert. Die Kundendaten sind mittels einer eindeutigen Kennung gekennzeichnet und so dem Kunden eindeutig zugeordnet. Der Zugriff bzw. die Veränderung der übermittelten Daten unterliegt wirksamen Zugriffsschutzmechanismen (vgl. Ziffer 2.3).
4. Verfügbarkeit und Belastbarkeit¶
4.1 Verfügbarkeitskontrolle (Kontinuitätssicherungen)¶
Die Server werden von der Firma Host Europe GmbH bereitgestellt, welche die Verfügbarkeit dieser via einer Auftragsverarbeitung sicherstellt.
4.2 Absicherung gegen Störungen¶
Die ELK GmbH ergreift unter anderem die folgenden Maßnahmen zur Absicherung gegen Störungen: Die ELK GmbH verfügt über ein zentralisiertes und regelmäßiges Patch Management. Ein Update-Plan für die eingesetzte Software gehört ebenso zu den durchgeführten Sicherheitsmaßnahmen wie die regelmäßige Wartung von Sicherheitseinrichtungen.
4.3 Wiederanlauf und Wiederherstellung der Verfügbarkeit¶
Die ELK GmbH ergreift unter anderem folgende Maßnahmen, um bei Ausfall des Systems dieses schnellstmöglich wieder betriebsbereit zu stellen: Es werden täglich Abbilder der Systeme erstellt, sodass bei Ausfall des Services, diese wieder eingespielt werden können. Weiterhin gibt es eine regelmäßig evaluierte Backup-Strategie, um das Wiederhochfahren des Systems zu ermöglichen.
5. Organisatorische Schutzmaßnahmen¶
Die ELK GmbH ergreift unter anderem die folgenden organisatorischen Datenschutzmaßnahmen: Die ELK GmbH hat nach dem Stand der Technik angemessene standardisierte organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse getroffen, die für die Funktionsfähigkeit der ELK Softwareapplikation maßgeblich sind (Informationssicherheitsmanagement-System).
6. Liste von Subunternehmern¶
| Name | Beschreibung der Dienstleistung | Verarbeitetet Daten-Kategorien |
|---|---|---|
| Hosteurope GmbH | Dienstleister für Infrastrukturplattformen, Server | Eine Verarbeitung von persönlichen Daten ist nicht vorgesehen. |
| App Logik GmbH | Dienstleister für Softwarentwicklung | Eine Verarbeitung von persönlichen Daten ist nicht vorgesehen |
| LBM-IT GmbH | Dienstleister für VPN Dienste | Eine Zuordnung und Verarbeitung der Netzwerkdaten zu Benutzern findet nicht statt |
.