Bei Pimcore verpflichten wir uns, die Vertraulichkeit, Integrität und Verfügbarkeit personenbezogener Daten zu gewährleisten. Nachfolgend finden Sie eine Übersicht über die technischen und organisatorischen Maßnahmen, die wir zum Schutz der von uns verarbeiteten Daten gemäß den geltenden Datenschutzgesetzen, einschließlich der Datenschutz-Grundverordnung (DSGVO), umsetzen.
Wenn Sie weitere Informationen darüber wünschen, wie wir Ihre Daten schützen, oder unseren Datenschutzbeauftragten kontaktieren möchten, senden Sie uns bitte eine E-Mail an privacy@pimcore.com.
| Sortcode | Name | Beschreibung |
|---|---|---|
| 01.03 | Risikoanalyse liegt vor | Eine Risikoanalyse liegt vor, wenn eine systematische Bewertung von möglichen Gefahren oder Bedrohungen durchgeführt wurde, die sich aus der Verarbeitung personenbezogener Daten ergeben können. Dabei werden alle relevanten Faktoren, wie Art und Umfang der Verarbeitung, die Art der Daten, die Betroffenenrechte und die technischen und organisatorischen Maßnahmen, berücksichtigt. Durch die Durchführung einer Risikoanalyse können Schwachstellen in den bestehenden Datenschutzmaßnahmen erkannt und geeignete Schutzmaßnahmen ergriffen werden, um das Risiko für die betroffenen Personen zu minimieren. |
| 01.05.02 | IT-Sicherheitsrichtlinien | Schriftliches Dokument, in dem ""Sicherheitsrichtlinen"" für Mitarbeiter einsehbar sind. |
| 01.05.03 | Arbeits- und Verfahrensanweisungen | Arbeits- und Verfahrensanweisungen beschreiben die Vorgehensweise und Regeln für die Arbeit mit IT-Systemen und Anwendungen in einem Unternehmen. Eine IT-Anwenderrichtlinie legt beispielsweise den Umgang mit IT-Systemen und -Diensten fest, um die sichere Nutzung der Systeme zu gewährleisten. Die Adminrichtlinie beschreibt die Aufgaben und Verantwortlichkeiten von IT-Administratoren. Das Thema Social Media regelt den sicheren und verantwortungsvollen Umgang mit sozialen Netzwerken in der Arbeitsumgebung. Die Regelung für Homeoffice und mobiles Arbeiten definieren die notwendige IT-Sicherheit im Hinblick auf den Zugriff auf Unternehmensdaten und -ressourcen von außerhalb des Unternehmens. Die E-Mail-Richtlinie reguliert den Einsatz von E-Mails, um sicherzustellen, dass der Datenschutz und Compliance gewährleistet sind. Die Regelungen für Mitarbeiter Eintritt/Austritt legen fest, wie die Zugangsberechtigungen für IT-Systeme verwaltet werden sollen, wenn Mitarbeiter das Unternehmen verlassen oder beitreten. Diese Arbeits- und Verfahrensanweisungen sind ein wichtiger Bestandteil des datenschutzrechtlichen Konzepts und der Verarbeitungstätigkeiten eines Unternehmens, da sie einen konkreten Rahmen für den Umgang mit personenbezogenen Daten in der täglichen Arbeit bilden.[/de][de]Arbeits- und Verfahrensanweisungen beschreiben die Vorgehensweise und Regeln für die Arbeit mit IT-Systemen und Anwendungen in einem Unternehmen. Eine IT-Anwenderrichtlinie legt beispielsweise den Umgang mit IT-Systemen und -Diensten fest, um die sichere Nutzung der Systeme zu gewährleisten. Die Adminrichtlinie beschreibt die Aufgaben und Verantwortlichkeiten von IT-Administratoren. Das Thema Social Media regelt den sicheren und verantwortungsvollen Umgang mit sozialen Netzwerken in der Arbeitsumgebung. Die Regelung für Homeoffice und mobiles Arbeiten definieren die notwendige IT-Sicherheit im Hinblick auf den Zugriff auf Unternehmensdaten und -ressourcen von außerhalb des Unternehmens. Die E-Mail-Richtlinie reguliert den Einsatz von E-Mails, um sicherzustellen, dass der Datenschutz und Compliance gewährleistet sind. Die Regelungen für Mitarbeiter Eintritt/Austritt legen fest, wie die Zugangsberechtigungen für IT-Systeme verwaltet werden sollen, wenn Mitarbeiter das Unternehmen verlassen oder beitreten. Diese Arbeits- und Verfahrensanweisungen sind ein wichtiger Bestandteil des datenschutzrechtlichen Konzepts und der Verarbeitungstätigkeiten eines Unternehmens, da sie einen konkreten Rahmen für den Umgang mit personenbezogenen Daten in der täglichen Arbeit bilden.[/de][de]Arbeits- und Verfahrensanweisungen beschreiben die Vorgehensweise und Regeln für die Arbeit mit IT-Systemen und Anwendungen in einem Unternehmen. Eine IT-Anwenderrichtlinie legt beispielsweise den Umgang mit IT-Systemen und -Diensten fest, um die sichere Nutzung der Systeme zu gewährleisten. Die Adminrichtlinie beschreibt die Aufgaben und Verantwortlichkeiten von IT-Administratoren. Das Thema Social Media regelt den sicheren und verantwortungsvollen Umgang mit sozialen Netzwerken in der Arbeitsumgebung. Die Regelung für Homeoffice und mobiles Arbeiten definieren die notwendige IT-Sicherheit im Hinblick auf den Zugriff auf Unternehmensdaten und -ressourcen von außerhalb des Unternehmens. Die E-Mail-Richtlinie reguliert den Einsatz von E-Mails, um sicherzustellen, dass der Datenschutz und Compliance gewährleistet sind. Die Regelungen für Mitarbeiter Eintritt/Austritt legen fest, wie die Zugangsberechtigungen für IT-Systeme verwaltet werden sollen, wenn Mitarbeiter das Unternehmen verlassen oder beitreten. Diese Arbeits- und Verfahrensanweisungen sind ein wichtiger Bestandteil des datenschutzrechtlichen Konzepts und der Verarbeitungstätigkeiten eines Unternehmens, da sie einen konkreten Rahmen für den Umgang mit personenbezogenen Daten in der täglichen Arbeit bilden.[/de][de]Arbeits- und Verfahrensanweisungen beschreiben die Vorgehensweise und Regeln für die Arbeit mit IT-Systemen und Anwendungen in einem Unternehmen. Eine IT-Anwenderrichtlinie legt beispielsweise den Umgang mit IT-Systemen und -Diensten fest, um die sichere Nutzung der Systeme zu gewährleisten. Die Adminrichtlinie beschreibt die Aufgaben und Verantwortlichkeiten von IT-Administratoren. Das Thema Social Media regelt den sicheren und verantwortungsvollen Umgang mit sozialen Netzwerken in der Arbeitsumgebung. Die Regelung für Homeoffice und mobiles Arbeiten definieren die notwendige IT-Sicherheit im Hinblick auf den Zugriff auf Unternehmensdaten und -ressourcen von außerhalb des Unternehmens. Die E-Mail-Richtlinie reguliert den Einsatz von E-Mails, um sicherzustellen, dass der Datenschutz und Compliance gewährleistet sind. Die Regelungen für Mitarbeiter Eintritt/Austritt legen fest, wie die Zugangsberechtigungen für IT-Systeme verwaltet werden sollen, wenn Mitarbeiter das Unternehmen verlassen oder beitreten. Diese Arbeits- und Verfahrensanweisungen sind ein wichtiger Bestandteil des datenschutzrechtlichen Konzepts und der Verarbeitungstätigkeiten eines Unternehmens, da sie einen konkreten Rahmen für den Umgang mit personenbezogenen Daten in der täglichen Arbeit bilden. |
| 01.07 | Ausschluss einer Mitbenutzung der TK-Anlagen durch Fremdfirmen | Ein Ausschluss der Mitbenutzung der TK-Anlagen durch Fremdfirmen bedeutet, dass es nicht möglich ist, dass Außenstehende oder andere Dritte die Telefonanlage mitbenutzen. Dies kann durch technische Maßnahmen wie eine sichere Konfiguration der Telekommunikationsanlagen, Passwortvergabe nur an autorisierte Personen oder andere Zugriffsbeschränkungen erreicht werden. Der Zweck ist in der Regel, eine unerlaubte Nutzung oder unbefugte Zugriffe auf das Netzwerk zu verhindern und die Integrität, Vertraulichkeit und Verfügbarkeit der Daten sicherzustellen. |
| 01.08 | Urlaubs-/Krankheitsvertretung des DV-Verantwortlichen | Bei Abwesenheit des Datenschutzverantwortlichen aufgrund von Urlaub oder Krankheit muss eine Vertretungsregelung getroffen werden. Es sollte einen Stellvertreter geben, der in Vertretung des Datenschutzverantwortlichen handeln kann und auch entsprechend autorisiert ist. Dabei ist zu beachten, dass der Stellvertreter über ausreichende Kenntnisse im Datenschutzrecht und den TOMs verfügt, um seine Aufgaben verantwortungsvoll wahrnehmen zu können. |
| 01.11 | Regelungen zur Beschaffung von Hard- und Software | Können Mitarbeiter selbst entscheiden, welche IT-Geräte und Software angeschafft wird, oder ist dies in irgend einer Form geregelt? |
| 01.14 | Sensibilisierungsschulungen | Regelmäßige Hinweise, Ermahnungen und Sensibilisierungsschulungen dienen dazu, das Problembewusstsein im Umgang mit personenbezogenen Daten zu fördern. Diese Maßnahmen können ein wichtiger Bestandteil eines Datenschutzprogramms gemäß der technischen und organisatorischen Maßnahmen (TOMs) sein. Ziel ist es, Mitarbeiterinnen und Mitarbeiter auf mögliche Risiken aufmerksam zu machen und sie für den verantwortungsvollen Umgang mit personenbezogenen Daten zu sensibilisieren. |
| 01.18 | Datenschutzstrategie vorhanden | Wenn eine Organisation eine Datenschutzstrategie hat, bedeutet dies, dass sie eine klare und umfassende Planung hat, wie sie personenbezogene Daten verarbeiten und schützen möchte. Die Datenschutzstrategie sollte die Ziele, Grundsätze und Verfahren für die Verarbeitung personenbezogener Daten beschreiben und dabei auch die rechtlichen Anforderungen berücksichtigen. Eine Datenschutzstrategie kann somit dazu beitragen, das Datenschutzrisiko zu minimieren und das Vertrauen der Kunden und Partner in die Organisation zu stärken. |
| 01.19 | Datenschutz-Management-System und Governance definiert | Ein Datenschutz-Management-System (DSMS) ist eine Grundlage für den Aufbau und die Umsetzung des Datenschutzes in einem Unternehmen oder Organisation. Es dient dazu, ein systematisches Vorgehen beim Schutz personenbezogener Daten zu gewährleisten und Risiken zu minimieren. Die Governance definiert die Entscheidungsstrukturen und Verantwortlichkeiten innerhalb des DSMS, um eine effektive und effiziente Umsetzung des Datenschutzes zu erreichen. Dabei werden auch die Prozesse und Verfahren festgelegt und regelmäßig überprüft und verbessert. Insgesamt umfasst das DSMS Maßnahmen zur Einhaltung der datenschutzrechtlichen Vorgaben, zur Information und Sensibilisierung der Mitarbeiter sowie zur Kontrolle und Überwachung der Umsetzung des Datenschutzes. |
| 01.20 | Mitarbeiter sind vertraglich zu Vertraulichkeit verpflichtet | Dies bedeutet, dass die Mitarbeiter eines Unternehmens durch ihre Arbeitsverträge dazu verpflichtet sind, vertrauliche Informationen, die sie im Rahmen ihrer Tätigkeit erhalten, über die Dauer des Dienstverhältnisses hinaus, nicht an Dritte weiterzugeben oder anderweitig zu missbrauchen. Diese Klausel dient dazu, sensible Daten des Unternehmens zu schützen und sicherzustellen, dass nur diejenigen Personen Zugang zu diesen Informationen haben, die sie auch tatsächlich benötigen. |
| 02.02.03 | Telekommunikations-Anlage abgegrenzt | Eine abgegrenzte Telekommunikations-Anlage bezieht sich auf ein System oder eine Einrichtung, die zur Weitergabe von Informationen, Sprache oder Daten über ein Netzwerk oder einen Kanal bestimmt ist. Die Anlage ist dabei durch technische und organisationale Maßnahmen so abgegrenzt, dass ein Zugriff Unbefugter auf die Systeme und Daten verhindert wird. Durch eine abgegrenzte Telekommunikations-Anlage können personenbezogene Daten geschützt und Sicherheitsrisiken minimiert werden. |
| 02.02.04 | Netzwerkverteiler abgegrenzt | Dies bedeutet, dass der Netzwerkverteiler in einem bestimmten Bereich (z.B. in einem verschließbaren Schrank oder einem abgeschlossenem Raum) installiert ist, der für Unbefugte nicht zugänglich ist. Dadurch soll sichergestellt werden, dass sensible Informationen, die möglicherweise durch den Verteiler fließen, vor unbefugtem Zugriff geschützt werden können. |
| 02.03.01 | Zutritt abgesichert durch Türschlösser | Die Aussage besagt, dass der Zutritt zu einem bestimmten Bereich durch Türschlösser gesichert ist. Dies bedeutet, dass nur Personen, die über den erforderlichen Schlüssel oder Zugangscode verfügen, Zugang zu diesem Bereich haben. Dies ist eine typische Sicherheitsmaßnahme, um unbefugtes Betreten des betreffenden Bereichs zu verhindern und den Schutz von Informationen oder Ressourcen zu gewährleisten. |
| 02.03.02 | Zutritt abgesichert durch elektrische Türschlösser | Diese Aussage bedeutet, dass ein physisches Objekt (z.B. ein Raum oder eine Einrichtung) durch elektrische Türschlösser gesichert wird. Der Zugang kann nur durch die Verwendung einer Genehmigungskarte, eines Passworts oder eines biometrischen Merkmals gewährt werden. Das Ziel ist es, den unbefugten Zugang zu verhindern und damit die Sicherheit der Einrichtung und der darin befindlichen Daten oder Objekte zu gewährleisten. |
| 02.04.01 | Schlüsselregelung | Eine Schlüsselregelung bezieht sich auf eine Sicherheitsmaßnahme, bei der ein physischer oder elektronischer Schlüssel erforderlich ist, um auf bestimmte Daten oder Systeme zuzugreifen. Dies bedeutet, dass nur autorisierte Personen Zugriff auf die Daten oder Systeme haben, für die sie berechtigt sind, und dass unautorisierte Zugriffe vermieden werden. Die Schlüsselregelung kann in verschiedenen Situationen angewendet werden, wie beispielsweise beim Schutz von Dateien oder Dokumenten in physischen Schränken oder Tresoren, bei der Sicherung von Türen oder Eingängen durch Schlüsselcodes oder Kartenleser oder beim Zugriff auf Computer oder Netzwerke durch Zugangscodes oder biometrische Identifikation. Eine Schlüsselregelung ist eine wichtige Sicherheitsmaßnahme im Datenschutz und trägt dazu bei, die Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Systemen zu gewährleisten. |
| 02.04.02 | Quittierung der Schlüsselausgabe | Die Quittierung der Schlüsselausgabe ist ein Prozess, der sicherstellt, dass eine Person, die einen Schlüssel ausgehändigt bekommt, diesen erhalten hat und dafür verantwortlich ist. Dies wird in der Regel durch die Unterschrift der Person auf einem Dokument oder Formular bescheinigt, das die Schlüsselausgabe bestätigt. Das Ziel dieser Maßnahme besteht darin, die Kontrolle über den Zugriff auf bestimmte Bereiche oder Ressourcen zu behalten und sicherzustellen, dass das Risiko von unerlaubtem Zugriff oder Verlust von Schlüsseln minimiert wird. |
| 02.06.02 | Ausweisregelungen | Ausweisregelungen sind Vorschriften, die festlegen, welche Arten von Identifikationsdokumenten akzeptiert werden, um eine Person zu identifizieren oder zu authentifizieren. Diese Regelungen beziehen sich oft auf Bereiche wie Reisen, Bankgeschäfte oder Zugangskontrollen. Beispiele für gängige Ausweisregelungen sind das Vorzeigen eines Reisepasses, eines Führerscheins oder eines Personalausweises. Solche Regelungen haben das Ziel, Betrug zu vermeiden und die Sicherheit von Personen und Einrichtungen zu gewährleisten. Der Schutz der persönlichen Daten muss dabei ebenfalls gewährleistet sein. |
| 02.06.04 | Besucherregelungen | Besucherregelungen beziehen sich auf die Regeln und Verfahren, die festlegen, wer Zugang zu einem Gebäude, einer Anlage oder einer Einrichtung haben darf und wie dieser Zugang gewährt wird. Grundlegend für Besucherregelungen ist die Notwendigkeit, sicherzustellen, dass potenzielle Besucher auf angemessene Weise identifiziert werden, um eine sichere Umgebung für alle Nutzer zu gewährleisten. Besucherregelungen können auch Bestimmungen für die Überprüfung von Besuchern auf Waffen, Explosivstoffe oder andere verbotene Gegenstände enthalten. Darüber hinaus können Besucherregelungen auch Bestimmungen für die Erfassung von Besucherdaten enthalten, z.B. Name, Datum und Ziel des Besuchs, um eine angemessene Überwachung und Sicherheit vorzusehen. Besucherregelungen können auch Teil eines Datenschutzkonzeptes sein, um sicherzustellen, dass die Daten der Besucher angemessen geschützt und gespeichert werden. |
| 02.07.01 | Zutrittskontrollsystem mit Chip-, Magnet-, RFID Karten | Ein Zutrittskontrollsystem mit Chip-, Magnet- oder RFID-Karten ist eine Technologie, die verwendet wird, um den Zugang zu bestimmten Räumlichkeiten oder Bereichen durch eine physische Karte zu steuern. Die Technologie basiert auf der Verwendung von Karten, die mit einem integrierten Chip, Magnetstreifen oder RFID-Chip ausgestattet sind. Diese Karten werden verwendet, um das System zu authentifizieren und damit die entsprechenden Türen oder Barrieren zu öffnen oder zu schließen. Solche Systeme bieten eine effiziente und bequeme Möglichkeit, die Sicherheit in öffentlichen oder privaten Räumlichkeiten zu erhöhen, und erlauben es Unternehmen, die Zugriffsrechte ihrer Mitarbeiter schnell und einfach zu verwalten. |
| 02.09.01 | Anwesenheitskontrolle mittels elektronischem Zeiterfassungsystem | Die Anwesenheitskontrolle mittels elektronischem Zeiterfassungssystem ist ein Verfahren zur Erfassung von Arbeitszeiten von Mitarbeitern. Hierbei wird über eine elektronische Zeiterfassungssoftware erfasst, wann ein Mitarbeiter seinen Arbeitsplatz betritt und verlässt. Diese Erfassung kann durch verschiedene Methoden, wie zum Beispiel per RFID-Chip, Fingerabdruck oder PIN-Code erfolgen. Anhand dieser Daten kann die Arbeitszeit des Mitarbeiters korrekt erfasst werden, was eine verlässliche Grundlage für die Personaladministration und die Lohnabrechnung darstellt. Wichtig ist dabei jedoch die Einhaltung datenschutzrechtlicher Vorschriften, um die Privatsphäre der Mitarbeiter zu schützen. So müssen beispielsweise Aufbewahrungsdauer der Daten sowie der Verwendungszweck klar definiert und transparent gemacht werden. |
| 03.01.01 | Passwörter mit entsprechender Komplexität | Unter Passwörtern mit entsprechender Komplexität versteht man Passwörter, die ausreichend lang sind, mindestens 10 Zeichen enthalten und eine Kombination aus Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen aufweisen. Das Ziel ist es, das Passwort vor unbefugtem Zugriff zu schützen, indem es schwieriger wird, es zu erraten oder zu knacken. Insbesondere Passwörter, die den Zugriff auf personenbezogene Daten oder andere geschützte Informationen ermöglichen, sollten eine hohe Komplexität aufweisen. |
| 03.01.02 | Passwörter Mindestlänge 10 Zeichen | Die Anforderung ""Passwörter Mindestlänge 10 Zeichen"" bedeutet, dass Benutzer bei der Erstellung von Passwörtern mindestens 10 Zeichen verwenden müssen. Dies ist eine Sicherheitsmaßnahme, um sicherzustellen, dass Passwörter stark genug sind und von potenziellen Angreifern schwer zu erraten oder zu knacken sind. Eine längere Passwortlänge erhöht die Komplexität des Passworts und macht es schwieriger, Brute-Force-Angriffe durchzuführen, bei denen eine automatisierte Software die verschiedenen möglichen Passwortkombinationen durchprobiert. Es ist auch wichtig, Benutzer daran zu erinnern, dass sie kein Passwort verwenden sollten, das leicht zu erraten ist wie die Namen von Partnern, Kindern, Haustieren, o.Ä. |
| 03.01.04 | Passwort-Erstanmeldeprozedur | Die Passwort-Erstanmeldeprozedur bezieht sich auf den Prozess, bei dem ein Benutzer eines IT-Systems zum ersten Mal ein Passwort erstellt, um sich in das System einzuloggen. In der Regel soll das Passwort sicher und auch für den Benutzer gut zu merken sein. Hierbei empfiehlt es sich, dass das System bestimmte Anforderungen an die Passwortkomplexität stellt, etwa eine bestimmte Mindestlänge oder das Erfüllen unterschiedlicher Kriterien (z. B. Groß- und Kleinschreibung, Zahlen und Sonderzeichen). Dadurch soll vermieden werden, dass Benutzer unsichere Passwörter erstellen, die leicht zu erraten oder zu knacken sind. Außerdem können weitere Sicherheitsmaßnahmen umgesetzt werden, wie eine Passwortrücksetzung, wenn das Passwort vergessen wurde oder ein bestimmter Zeitraum für die Gültigkeit des Passworts. |
| 03.01.05 | Bildschirmsperre bei Pausen mit Passwort-Aktivierung | Die Bildschirmsperre bei Pausen mit Passwort-Aktivierung dient dazu, den Datenschutz zu erhöhen und unerlaubten Zugriff auf Daten während Pausen oder Abwesenheit zu verhindern. Diese Maßnahme sollte im Rahmen der technischen und organisatorischen Maßnahmen (TOMs) des Unternehmens berücksichtigt und umgesetzt werden. Es ist empfehlenswert, dass Mitarbeiter den Bildschirm sperren, wenn sie den Arbeitsplatz verlassen, um sensible Daten vor unautorisiertem Zugriff zu schützen. Die Aktivierung von Passwortschutz beim Entsperren bietet zusätzliche Sicherheit und reduziert das Risiko von unbefugtem Zugriff, da nur autorisierte Benutzer Zugriff auf das System erhalten und sensible Daten geschützt bleiben. |
| 03.01.06 | Zugangssperre nach fehlgeschlagenen Anmeldeversuchen | Dies bedeutet, dass ein System so konfiguriert ist, dass nach einer bestimmten Anzahl von fehlgeschlagenen Anmeldeversuchen automatisch der Zugang zum Zeitpunkt der Anmeldung gesperrt wird. Dies dient in erster Linie der Sicherheit und soll verhindern, dass potenzielle Angreifer durch bruteforce-Angriffe auf Passwörter Zugang zum System erhalten. Auf diese Weise wird auch verhindert, dass unbefugte Benutzer auf das System zugreifen oder wiederholt versuchen, sich anzumelden, um potenzielle Sicherheitslücken auszunutzen. |
| 03.01.07 | Passworthistorie | Die Passworthistorie ist ein Sicherheitskonzept, das Unternehmen dabei hilft, ihre Systeme und Daten vor unautorisiertem Zugriff zu schützen. Dabei wird eine bestimmte Anzahl von Passwörtern gespeichert, die ein Nutzer in der Vergangenheit verwendet hat. Wenn der Nutzer versucht, ein bereits genutztes Passwort erneut zu verwenden, wird dies durch das System blockiert und er muss ein neues, sicheres Passwort erstellen. Die Passworthistorie dient somit als Absicherung gegenüber dem Wiederverwenden von unsicheren Passwörtern und erhöht die Sicherheit von Zugängen und Accounts. |
| 03.01.09 | Passwortrichtlinie | Eine Passwortrichtlinie ist eine von einer Organisation erstellte Richtlinie, die Anforderungen an die Passwörter von Benutzern oder Mitarbeitern festlegt. Diese richtlinie wird entwickelt, um sicherzustellen, dass Benutzer starke und sichere Passwörter wählen, um die Sicherheit von Benutzerkonten und die Vertraulichkeit von Informationen zu gewährleisten. Die Passwortrichtlinie kann unter anderem Anleitungen enthalten, wie oft Passwörter geändert werden müssen, wie lang sie sein sollten und welche speziellen Zeichen sie enthalten müssen. Eine Passwortrichtlinie ist ein wichtiger Bestandteil eines umfassenden Informationssicherheitsprogramms. |
| 03.01.15 | erhöhte Passwortkomplexität und -länge für Administrator-Zugänge | Dies bedeutet, dass bei der Anmeldung als Administrator ein langes und komplexes Passwort erforderlich ist. Dies dient dazu, die Sicherheit von sensiblen Daten und Systemen zu erhöhen und den Zugang zu diesen kritischen Ressourcen auf autorisierte Personen zu beschränken. Eine erhöhte Passwort-Komplexität kann beispielsweise bedeuten, dass das Passwort aus einer Kombination von Buchstaben, Zahlen und Sonderzeichen bestehen muss. Eine erhöhte Passwort-Länge bedeutet, dass das Passwort aus einer bestimmten Anzahl von Zeichen bestehen muss, um die Sicherheit zu erhöhen. |
| 03.01.16 | Nur personalisierte Zugangskennungen | Das bedeutet, dass jeder Benutzer eine eindeutige Kennung oder eindeutiger Benutzername erhält, um auf ein System oder eine Anwendung zuzugreifen. Diese Zugangskennung ist personalisiert und nicht allgemein zugänglich. Die Verwendung personalisierter Zugangskennungen hilft dabei, die Sicherheit eines Systems zu erhöhen, da jeder Benutzer für seine Handlungen verantwortlich ist und die Aktivitäten des Benutzers besser verfolgt werden können. |
| 03.01.17 | Dedizierte Service Useraccounts für Datenaustausch | ""Dedizierte Service User Accounts"" sind spezielle Benutzerkonten, die für den Datenaustausch zwischen verschiedenen Anwendungen oder Systemen verwendet werden. Diese Benutzerkonten werden ausschließlich für diesen Zweck erstellt und haben in der Regel besondere Zugriffsrechte und Berechtigungen, um sicherzustellen, dass Daten sicher und nur von berechtigten Personen oder Systemen ausgetauscht werden können. Diese Konten können von verschiedenen Diensten oder Anwendungen verwendet werden, um Daten auszutauschen, ohne dabei den Anwender selbst zu belasten. Für die Verwendung solcher Konten ist es wichtig, dass sie eindeutig identifizierbar und gegen unbefugten Zugriff geschützt sind. Dies kann durch geeignete Schutzmaßnahmen wie Passwortsicherheit, Verschlüsselung und Zugangskontrollen gewährleistet werden. |
| 03.01.18 | Elektronischer Passwort Safe | Ein elektronischer Passwort Safe ist eine Software, die verwendet wird, um Passwörter und andere vertrauliche Daten sicher aufzubewahren. Der Passwort Safe kann mittels Eingabe eines Passworts oder durch die Verwendung eines biometrischen Merkmals entriegelt werden. In einem Passwort Safe können mehrere Passwörter für verschiedene Konten gespeichert werden, so dass der Benutzer nicht mehr alle Passwörter auswendig lernen muss. Einige Passwort Safes verfügen auch über Funktionen wie automatische Login- oder Anmeldeschaltflächen, um den Zugriff auf verschiedene Websites und Anwendungen zu erleichtern. Der elektronische Passwort Safe bietet somit eine bequeme und sichere Möglichkeit, Passwörter und Daten aufzubewahren und vor unbefugtem Zugriff zu schützen. |
| 03.01.19 | Mehrfaktor Authentifizierung | Mehrfaktor-Authentifizierung (MFA) ist ein Verfahren zur erhöhten Sicherheit bei der Anmeldung in ein System oder einer Plattform, das auf mehrere Bestätigungsfaktoren zurückgreift. Hierbei werden mindestens zwei unterschiedliche Faktoren kombiniert, um sicherzustellen, dass der Benutzer tatsächlich berechtigt ist, auf das System oder die Plattform zuzugreifen. Zu den Bestätigungsfaktoren können beispielsweise die Eingabe eines Passworts, eine SMS mit einem Einmalcode, Fingerabdruck- oder Gesichtserkennung, Smartcards oder Biometrie gehören. Hierbei wird eine höhere Sicherheit erzielt, da ein potenzieller Angreifer mehr als nur ein Passwort stehlen müsste, um auf das System zugreifen zu können. MFA ist heute ein Standard in vielen Bereichen, insbesondere in sicherheitskritischen Bereichen wie dem Online-Banking oder der Verwaltung von sensiblen Daten. |
| 03.02.01 | Zugang mittels biometrischer Verfahren (one-to-one) | Biometrische Verfahren (one-to-one) beziehen sich auf die Verwendung von körperlichen oder Verhaltensmerkmalen, um den Zugang zu einem System oder einer Datenbank zu ermöglichen. Es ist ein Verfahren der Identifikation und Authentifizierung, bei dem der Benutzer ein Merkmal, wie zum Beispiel einen Fingerabdruck oder einen Gesichtsabdruck, einem zuvor gespeicherten Muster oder Profil gegenüberstellt. Wenn das gemessene biometrische Merkmal mit dem gespeicherten Muster übereinstimmt, wird der Zugang gewährt. Diese Art von Verfahren sind oft sicherer als Passwörter oder PIN-Codes, da biometrische Merkmale einzigartig sind und nicht leicht gefälscht werden können. Allerdings müssen bei der Nutzung dieser Verfahren auch datenschutzrechtliche Vorschriften beachtet werden, um sicherzustellen, dass alle Daten angemessen und sicher verarbeitet und aufbewahrt werden. |
| 03.03 | Protokollierung des Zugangs (An-/Abmeldung) | Die Protokollierung des Zugangs (An-/Abmeldung) bezieht sich auf das Erfassen von Informationen über den Zugriff auf ein System, insbesondere wann ein Benutzer sich angemeldet hat und wieder abgemeldet hat. Diese Protokollierung ist wichtig, um die Sicherheit des Systems zu gewährleisten sowie um nachvollziehen zu können, wer wann auf welche Daten zugegriffen hat. |
| 03.04 | Verschlüsselung mobiler Datenträger und Festplatten in Mobilgeräten | Die Verschlüsselung mobiler Datenträger und Festplatten in Mobilgeräten ist ein wichtiger Bestandteil des Datenschutzes. Dabei werden die Daten auf den Geräten mithilfe von starken Verschlüsselungsalgorithmen geschützt, sodass sie bei Verlust oder Diebstahl des Geräts nicht von unbefugten Personen eingesehen oder genutzt werden können. Durch die immer größere Verbreitung von Mobilgeräten und die darin enthaltenen sensiblen persönlichen sowie geschäftlichen Daten, ist eine Verschlüsselung unerlässlich geworden. Diese schützt nicht nur die Privatsphäre der Nutzer, sondern auch das geistige Eigentum von Unternehmen. |
| 03.09.04.02 | Einsatz Software-Firewall | Eine Software-Firewall ist eine Art von Sicherheitssoftware, die dazu verwendet wird, Netzwerkverbindungen zu überwachen und zu kontrollieren. Es kann entweder als Standalone-Softwareanwendung oder als Teil eines umfassenderen Sicherheitspakets installiert werden. Eine Software-Firewall arbeitet durch Überwachung von Netzwerkverbindungen und Anwendungen, um festzustellen, ob sie sicher sind oder nicht. Es kann den Internetverkehr filtern, indem es den Zugriff auf bestimmte Websites und Anwendungen einschränkt und unerlaubte Zugriffe von potenziell bösartigen Quellen blockiert. Eine Software-Firewall ist ein wichtiger Bestandteil der IT-Sicherheitsmaßnahmen einer Organisation, um ihre Netzwerkumgebung zu schützen. |
| 03.09.04.03 | Einsatz Hardware-Firewall (Appliance) | Eine Hardware-Firewall (Appliance) ist eine physische Geräteeinheit, die als primäre Verteidigung gegen externe Bedrohungen für ein Netzwerk dient. Sie bietet eine erste Schutzlinie für ein Netzwerk vor unerlaubtem Zugriff und Angriffen von außen. Eine Hardware-Firewall kann Ports, Dienste und Protokolle beschränken und den Datenverkehr auf das tatsächlich benötigte Minimum beschränken. Hardware-Firewalls können in verschiedenen Größen und Konfigurationen verfügbar sein, einschließlich Desktop-Geräten für kleine Büros oder Heimnetzwerke bis hin zu großen Anlagen für große Unternehmen. Sie können auch verschiedene Funktionen haben, wie zum Beispiel Antivirus-Schutz, Intrusion Prevention, Virtual Private Network (VPN)-Unterstützung und vieles mehr. |
| 03.09.02 | Firewall-Zugriffsberechtigungskonzept | Das Firewall-Zugriffsberechtigungskonzept ist ein Konzept, das festlegt, welche Mitarbeiter oder Arbeitsgruppen innerhalb eines Unternehmens auf bestimmte Bereiche der Firewall zugreifen dürfen, um das Netzwerk zu schützen und den Datenverkehr zu kontrollieren. Es ist wichtig sicherzustellen, dass nur autorisierte Personen oder Gruppen mit den erforderlichen Berechtigungen Zugriff auf die spezifischen Teile der Firewall haben, um unberechtigte Zugriffe und Sicherheitsprobleme zu vermeiden. Das Firewall-Zugriffsberechtigungskonzept sollte ein Teil des umfassenden Sicherheitskonzepts eines Unternehmens sein. |
| 03.09.03.02 | Firewall Regeländerungen nachvollziehbar | Die Anforderung ""Firewall Regeländerungen nachvollziehbar"" bedeutet, dass alle Änderungen an den Regeln der Firewall, die den Datenverkehr in ein Netzwerk steuern, dokumentiert und rückverfolgbar sein müssen. Das heißt, es muss jederzeit nachvollziehbar sein, wer wann welche Regeländerung an der Firewall vorgenommen hat und warum. Dadurch soll die Integrität und die Sicherheit des Netzwerks gewährleistet und potenzielle Sicherheitsrisiken minimiert werden. |
| 03.09.03.03 | Firewall-Regelwerk wird regemäßig geprüft | Dies bedeutet, dass das Regelwerk der Firewall periodisch überprüft wird, um sicherzustellen, dass es immer noch aktuell und wirksam ist. Dies wird normalerweise durchgeführt, um sicherzustellen, dass das Netzwerk vor bekannten Angriffen und Schwachstellen geschützt wird. Durch regelmäßiges Überprüfen der Firewall-Einstellungen können auch unerwartete Änderungen oder Schwachstellen im System identifiziert und korrigiert werden, um die Sicherheit des Netzwerks zu gewährleisten. |
| 03.09.08.01 | Versionsupdates der Firewall regelmässig, automatisiertes Verfahren | Bei Versionsupdates der Firewall geht es darum, sicherzustellen, dass die Firewall-Software auf dem neuesten Stand ist und alle Sicherheitslücken behoben werden. Dies ist wichtig, um vor Angriffen von außen zu schützen. Ein regelmäßiges und automatisiertes Verfahren bedeutet, dass die Updates automatisch aufgespielt werden, ohne dass der Benutzer manuell eingreifen muss. Dadurch wird sichergestellt, dass die Firewall immer auf dem neuesten Stand ist und mögliche Sicherheitslücken schnell geschlossen werden. |
| 03.09.08.02 | Versionsupdates der Firewall regelmässig, manuelles Verfahren | ""Versionsupdates der Firewall regelmäßig, manuelles Verfahren"" bedeutet, dass die Firewall-Software, die zur Sicherung von Netzwerken verwendet wird, regelmäßig aktualisiert wird, aber diese Updates manuell installiert werden müssen. Das bedeutet, dass verantwortliche Personen in regelmäßigen Abständen die Firewall-Software prüfen und sicherstellen müssen, dass die neueste Version installiert ist, um die maximale Sicherheit zu gewährleisten. |
| 03.09.09.02.01 | Sicherheitspatches der Firewall regelmässig, automatisiertes Verfahren | Sicherheitspatches der Firewall sollten regelmäßig installiert werden, um potenzielle Schwachstellen zu beheben und die Integrität und Vertraulichkeit von Daten zu schützen. Idealerweise sollte ein automatisiertes Verfahren eingerichtet werden, das sicherstellt, dass diese Patches in regelmäßigen Abständen installiert werden, um sicherzustellen, dass die Firewall immer auf dem neuesten Stand ist. Dies kann manuell oder automatisch durchgeführt werden, und es ist wichtig sicherzustellen, dass alle Patches in einer sicheren und zuverlässigen Umgebung heruntergeladen und überprüft werden, um die Einsatzfähigkeit der Firewall nicht zu beeinträchtigen. |
| 03.09.09.02.02 | Sicherheitspatches der Firewall regelmässig, manuelles Verfahren | Die regelmäßige Installation von Sicherheitspatches auf einer Firewall ist ein wichtiger Schritt zur Aufrechterhaltung der Sicherheit für ein Netzwerk. In diesem Fall bezieht sich das manuelle Verfahren darauf, dass die Aktualisierung der Firewall durch manuelle Eingriffe vorgenommen wird und nicht automatisch erfolgt. Dies kann bedeuten, dass ein IT-Administrator manuell Patches herunterlädt und auf der Firewall installiert oder dass ein anderes manuelles Verfahren verwendet wird, um die Firewall auf den neuesten Stand zu bringen. Es ist wichtig sicherzustellen, dass das manuelle Verfahren regelmäßig durchgeführt wird, um die bestmögliche Sicherheit für das Netzwerk zu gewährleisten. |
| 03.10.01.01 | Browser Updates und Sicherheitspatches Laufend, automatisch | Browser-Updates und Sicherheitspatches müssen regelmäßig durchgeführt werden, um potenzielle Sicherheitsbedrohungen zu vermeiden. Es ist empfehlenswert, dass die Updates automatisch im Hintergrund heruntergeladen und installiert werden, um sicherzustellen, dass der Browser auf dem neuesten Stand ist und mögliche Sicherheitslücken schnell geschlossen werden. Dies kann durch die Aktivierung von automatischen Updates in den Einstellungen des jeweiligen Browsers erfolgen. Auf diese Weise wird sichergestellt, dass das System stets geschützt ist und ein höheres Sicherheitsniveau gewährleistet wird. |
| 03.10.02.01 | Browser Verwaltung der Konfiguration durch Administrator | Die Browser-Verwaltung der Konfiguration durch einen Administrator bezieht sich darauf, wie Einstellungen und Konfigurationen in einem Webbrowser zentral verwaltet werden können. Normalerweise können Benutzer ihre eigenen Einstellungen im Browser vornehmen, aber mit der zentralen Verwaltung durch den Administrator können bestimmte Einstellungen, wie beispielsweise die Startseite und gespeicherte Passwörter, standardisiert und auf alle Benutzer in einer Organisation angewendet werden. Dies kann auch helfen, die Sicherheit zu erhöhen, indem bestimmte Konfigurationen standardisiert und durchgesetzt werden. |
| 04.01.01 | Schriftliches Berechtigungskonzept | Ein schriftliches Berechtigungskonzept ist eine Dokumentation, die festlegt, welche Personen oder Gruppen von Personen innerhalb einer Organisation Zugriff auf welche Daten oder Ressourcen haben dürfen. Es beschreibt die Rollen und Zuständigkeiten der Mitarbeiter und legt fest, welche Berechtigungen benötigt werden, um bestimmte Aufgaben auszuführen. Das Berechtigungskonzept dient als Grundlage für eine gezielte und effektive Vergabe von Zugriffsrechten und minimiert das Risiko von unberechtigtem Zugriff auf sensible Daten. Es ist ein wichtiger Bestandteil in der Umsetzung von Datenschutzkonzepten und wird in der Regel regelmäßig aktualisiert. |
| 04.01.03 | Rollenbasiertes Berechtigungskonzept | Ein rollenbasiertes Berechtigungskonzept ist ein Konzept, das auf der Idee basiert, dass bestimmte Rollen innerhalb einer Organisation oder eines Systems spezifische Berechtigungen benötigen, um ihre Aufgaben ausführen zu können. Eine Rolle kann in diesem Zusammenhang eine Abteilung, ein Jobtitel oder eine Position innerhalb einer Organisation sein. Basierend auf diesen Rollen kann dann ein Berechtigungssystem eingerichtet werden, das den Zugriff auf bestimmte Daten oder Prozesse innerhalb des Systems einschränkt oder gewährt. Dieses Konzept sorgt für eine effektive und sichere Verwaltung von sensiblen Daten und schützt vor unbefugtem Zugriff auf diese Informationen. |
| 04.01.08.02 | Protokollierung Dateizugriffe | Die Protokollierung von Dateizugriffen bezieht sich auf die Aufzeichnung von Informationen über den Zugriff auf bestimmte Dateien in einem System. Diese Informationen können beispielsweise enthalten, wer auf die Datei zugegriffen hat, wann der Zugriff erfolgte und was der Zweck des Zugriffs war. Die Protokollierung von Dateizugriffen ist eine wichtige Datenschutzmaßnahme, die es ermöglicht, potenzielle Datenschutzverletzungen schnell zu erkennen und zu untersuchen sowie das Verhalten von Benutzern im System zu überwachen und zu verwalten. |
| 04.01.09 | Keine Administratorrechte für Nutzer auf Endgeräten | ""Keine Administratorrechte für Nutzer auf Endgeräten"" bedeutet, dass Nutzer auf ihren Endgeräten, wie beispielsweise Smartphones oder Laptops, keine umfassenden Administrationsrechte haben. Dies kann bedeuten, dass sie keine Programme installieren oder deinstallieren können, keine tiefgreifenden Änderungen an den Einstellungen des Geräts vornehmen können oder keinen Zugriff auf bestimmte Ordner oder Apps haben. Diese Einschränkungen dienen dazu, das Risiko von Fehlern oder Schäden, die durch unsachgemäße Handhabung und die unbeabsichtigte Installation von Schadsoftware entstehen, zu reduzieren und die Sicherheit des Geräts und der darauf gespeicherten Daten zu gewährleisten. |
| 04.01.10 | Prozesse zur Erlangung und Veränderung von Berechtigungen | Prozesse zur Erlangung und Veränderung von Berechtigungen beziehen sich auf die Verfahren und Maßnahmen, die notwendig sind, um einem Benutzer bestimmte Rechte und Zugriffe auf Systeme, Anwendungen, Daten oder Informationen zu gewähren oder zu entziehen. Dies umfasst in der Regel den Antrag- und Genehmigungsprozess, bei dem das Management oder der Datenschutzbeauftragte den Antrag des Benutzers überprüft und entweder genehmigt oder ablehnt. Es kann auch Verfahren zur Überprüfung der Identität und Zuverlässigkeit des Benutzers geben, um sicherzustellen, dass die vergebenen Berechtigungen nur an autorisierte Personen vergeben werden. Die Veränderung von Berechtigungen umfasst auch den Prozess der Entfernung von Berechtigungen, falls ein Benutzer die benötigten Zugriffsrechte nicht mehr benötigt oder seine Position im Unternehmen geändert hat. Diese Prozesse sind wichtig, um sicherzustellen, dass der Zugriff auf vertrauliche Informationen und sensiblen Daten auf eine gezielte Weise erfolgt und Missbrauch von berechtigten Nutzern verhindert wird. |
| 04.01.10.04 | Regelmäßige Überprüfung von Berechtigungen | Regelmäßige Überprüfung, ob vergebene Berechtigungen noch notwendig sind bedeutet, dass in bestimmten Zeitabständen kontrolliert wird, ob die erteilten Berechtigungen für den Zugang zu personenbezogenen Daten noch immer berechtigt und angemessen sind. Dies dient dem Schutz der Datenschutzprinzipien ""Erforderlichkeit"" und ""Datensparsamkeit"". Durch eine solche regelmäßige Überprüfung kann verhindert werden, dass unnötige oder unangemessene Berechtigungen weiterhin bestehen bleiben und somit kann das Risiko von Datenmissbrauch verringert werden. |
| 04.02.04 | Dezentrale Auslagerung von Sicherungsdatenträgern | Die dezentrale Auslagerung von Sicherungsdatenträgern bezieht sich darauf, dass Datensicherungs-Datenträger nicht ausschließlich im selben Gebäude oder Büro aufbewahrt werden, wie das Originalsystem. Stattdessen werden Sicherungsdatenträger an einem anderen Ort aufbewahrt, der von dem Hauptsystem entfernt ist. Dies kann eine andere Abteilung, ein anderes Büro oder sogar ein anderes Land sein. Der Zweck besteht darin, sicherzustellen, dass im Falle von Systemausfällen, Datenverlusten, oder Unternehmen Diebstahl die gesicherten Daten vollständig erhalten bleiben. |
| 04.03.12 | Verbot des Einsatzes privater Datenträger | Das Verbot des Einsatzes privater Datenträger bedeutet, dass Mitarbeiter eines Unternehmens keine persönlichen Geräte wie beispielsweise USB-Sticks, externe Festplatten oder Smartphones verwenden dürfen, um Unternehmensdaten zu speichern oder zu übertragen. Stattdessen müssen alle Daten auf firmeneigenen Geräten oder Cloud-Speichern gespeichert und übertragen werden, die den Sicherheitsanforderungen des Unternehmensentsprechen und von den zuständigen Datenschutzbeauftragten oder IT-Experten überwacht werden können. Dies gewährleistet den Schutz von Unternehmensdaten vor unautorisierten Zugriffen oder Verlust und stellt sicher, dass die Datensicherheit gemäß den geltenden Datenschutzbestimmungen eingehalten wird. |
| 04.10.03 | Getrenntes Gäste-WLAN | Ein getrenntes Gäste-WLAN ist ein WLAN-Netzwerk, das speziell für die Nutzung durch Gäste in einem Unternehmen eingerichtet wird. Es wird separat vom Haupt-WLAN-Netzwerk betrieben, um den Zugriff auf das interne Netzwerk des Unternehmens zu vermeiden. Dadurch wird verhindert, dass Gäste unberechtigten Zugriff auf vertrauliche Daten haben oder das interne Netzwerk beschädigen oder beeinträchtigen können. Ein getrenntes Gäste-WLAN kann durch zusätzliche Sicherheitsmaßnahmen geschützt werden, z.B. durch die Verwendung fester Passwörter und regelmäßige Überprüfungen der Sicherheitsprotokolle. |
| 04.10.04 | Verschlüsselung drahtloser Netzwerke | Eine aktuelle Verschlüsselungs-Technologie für WLAN nennt sich Wi-Fi Protected Access II (WPA2). Dieses Protokoll nutzt einen symmetrischen Verschlüsselungsstandard namens Advanced Encryption Standard (AES), um die Kommunikation zwischen drahtlosen Endgeräten und dem WLAN-Router zu schützen. Somit können unbefugte Dritte die von einem WLAN-Signal übertragenen Daten nicht einfach ausspähen oder manipulieren. Eine verschlüsselte drahtlose Netzwerkverbindung ist aus Datenschutz- und Sicherheitsgründen unbedingt empfehlenswert. |
| 04.10.08 | E-Mail Verschlüsselung | E-Mail-Verschlüsselung ist ein Prozess, bei dem der Inhalt einer E-Mail durch eine Verschlüsselungsmethode so verändert wird, dass er nur von autorisierten Empfängern entschlüsselt werden kann. Die Verschlüsselung der E-Mail dient dazu, die Vertraulichkeit des Inhalts der E-Mail zu schützen. Dies bedeutet, dass ein Dritter, der die E-Mail abfängt oder in den E-Mail-Verkehr eindringt, den Inhalt der E-Mail nicht lesen kann, da der Inhalt der E-Mail durch die Verschlüsselungsmethode unlesbar gemacht wird. Verschlüsselte E-Mails können auf verschiedene Weise verschlüsselt werden, wie z.B. durch eine symmetrische Verschlüsselung oder eine asymmetrische Verschlüsselung. Der Empfänger kann den privaten Schlüssel zum Entschlüsseln der E-Mail verwenden, während der öffentliche Schlüssel des Empfängers dazu verwendet wird, die E-Mail zu verschlüsseln und sicherzustellen, dass nur der Empfänger sie entschlüsseln kann. |
| 04.10.15 | Trennung von funktionalen Netzwerkgruppen in einzelne VLANs | Die Trennung von funktionalen Netzwerkgruppen in einzelne VLANs bedeutet, dass das Netzwerk in logische Einheiten unterteilt wird. Diese Einheiten werden als VLANs bezeichnet und dienen dazu, den Datenverkehr innerhalb des Netzwerks zu segmentieren. Durch die Trennung in VLANs können verschiedene Gruppen von Geräten, wie zum Beispiel Mitarbeitergeräte, Gäste-Geräte, IoT-Geräte oder Systeme, voneinander isoliert werden. Dadurch wird die Sicherheit und der Datenschutz der Daten, die über das Netzwerk übertragen werden, erhöht. Die Implementierung von VLANs erfordert jedoch eine saubere Planung und Konfiguration, um sicherzustellen, dass die Segmente effektiv voneinander getrennt sind. |
| 05.03.02 | Verschlüsselte Datenübertragung | Verschlüsselte Datenübertragung bezieht sich auf den Prozess, bei dem Daten in eine verschlüsselte Form umgewandelt werden, bevor sie über ein Netzwerk übertragen werden. Dabei wird ein Verschlüsselungsalgorithmus verwendet, um die ursprünglichen Daten in eine unkenntliche Form zu konvertieren, die nur mit einem Schlüssel wieder entschlüsselt werden kann. Dies ist ein wichtiger Schutzmechanismus, um potenzielle Abhörungen und Datenmissbrauch zu verhindern. |
| 05.05.03.03 | Datentransfers verschlüsselt | Daten sind während der Übertragung mit Hilfe eines speziellen Verschlüsselungsverfahrens sicher und geschützt. Hierbei werden die Informationen in ein Textformat umgewandelt, das ohne den passenden Entschlüsselungsalgorithmus und -schlüssel nicht lesbar ist. Dadurch wird sichergestellt, dass die Daten nur von autorisierten Personen gelesen werden können und vor unerlaubtem Zugriff auf dem Übertragungsweg geschützt sind. |
| 05.11 | Regelungen für Homeoffice | Regelungen für Homeoffice sind Maßnahmen und Vorgaben, die von Unternehmen oder öffentlichen Einrichtungen festgelegt werden, um den Schutz personenbezogener Daten auch im Homeoffice zu gewährleisten. Das beinhaltet unter anderem Themen wie technische und organisatorische Maßnahmen zur Datensicherheit, Zugangs- und Zugriffskontrollen, Nutzung von verschlüsselten Kommunikationskanälen, Verhaltensregeln im Umgang mit personenbezogenen Daten sowie Schulungen und Sensibilisierungen der Mitarbeiterinnen und Mitarbeiter. Diese Regelungen sind notwendig, um sicherzustellen, dass personenbezogene Daten auch außerhalb des Unternehmensnetzwerks angemessen geschützt und verarbeitet werden können. |
| 05.12.06 | Fernwartung nur durch explizites Freischalten durch Auftraggeber | Das bedeutet, dass eine Fernwartung auf das System des Auftraggebers nur dann durchgeführt werden darf, wenn der Auftraggeber explizit den Zugriff dazu erteilt hat. Dies geschieht normalerweise über ein vorher vereinbartes Verfahren, wie z.B. eine Anfrage per E-Mail oder Telefon. Ohne diese ausdrückliche Zustimmung des Auftraggebers darf kein Zugriff auf das System erfolgen, um die Privatsphäre und Datensicherheit des Auftraggebers zu schützen. |
| 05.12.07.01 | Verschlüsselung des Übertragungsweges bei Fernwartung | Die Verschlüsselung des (gesamten) Übertragungsweges bei Fernwartung bezieht sich darauf, dass jegliche Kommunikation zwischen den beteiligten Parteien mittels kryptographischer Techniken geschützt wird. Das bedeutet, dass alle übertragenen Daten, wie zum Beispiel Benutzernamen, Passwörter oder Dateien, durch Verschlüsselung unleserlich und somit vor unbefugtem Zugriff geschützt werden. Eine sichere Verschlüsselung während der Fernwartung ist ein wichtiger Schutzmechanismus gegen Angriffe auf das System oder den Netzwerkverkehr und ist deshalb ein wichtiger Bestandteil eines umfassenden Datenschutzkonzepts. |
| 05.12.08.01 | Fernwartungszugriff mittels Benutzerkennung / Passwort | Fernwartungszugriff mittels Benutzerkennung/Passwort bedeutet, dass ein IT-Support-Mitarbeiter oder ein Techniker Remote-Zugriff auf ein Computersystem oder ein Netzwerk erhalten kann, indem er eine Benutzerkennung und ein Passwort verwendet. Der Zugriff erfolgt dabei über eine spezielle Software, die es ermöglicht, auf den entfernten Rechner oder das Netzwerk zuzugreifen und Änderungen vorzunehmen. Es ist wichtig zu beachten, dass ein sicheres Benutzerkennwort verwendet wird und dass der Fernzugriff nur erfolgt, wenn dies ausdrücklich vom Nutzer autorisiert wurde. Zudem muss der Fernzugriff durch technische und organisatorische Maßnahmen abgesichert werden, um ein unautorisiertes Eindringen oder Datenlecks zu verhindern. |
| 07.02.02 | Zertifizierungen und Gütesiegel als Kriterium zur Auswahl von Auftragnehmern | Bei der Auswahl von Auftragnehmern können Zertifizierungen und Gütesiegel als Kriterium herangezogen werden. Diese Zertifizierungen und Gütesiegel sollen sicherstellen, dass der Auftragnehmer bestimmte datenschutzrechtliche und informationssicherheitsrelevante Anforderungen erfüllt. Hierzu zählen beispielsweise die Einhaltung der DSGVO und anderer Datenschutzvorschriften, die Implementierung von angemessenen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten sowie die Erfüllung von Qualitätsstandards im Bereich der Informationssicherheit. |
| 07.02.03 | Datensicherheitskonzeption als Kriterium zur Auswahl von Auftragnehmern | Die Vorlage einer Datensicherheitskonzeption kann als Kriterium zur Auswahl von Auftragnehmern dienen, um sicherzustellen, dass diese angemessene Sicherheitsmaßnahmen zum Schutz personenbezogener Daten ergreifen. Im Rahmen des Datenschutzes sind Unternehmen verpflichtet, sicherzustellen, dass personenbezogene Daten, die sie im Auftrag verarbeiten lassen, angemessen geschützt werden. Die Vorlage einer Datensicherheitskonzeption kann ein wichtiger Bestandteil der Überprüfung von Auftragnehmern sein, um sicherzustellen, dass diese alle erforderlichen Datenschutzanforderungen einhalten. |
| 07.05 | Detaillierte schriftliche Regelungen (Vertrag/Vereinbarung) der Auftragsverhältnisse | Dieses Merkmal beschreibt, dass in Unternehmen, die personenbezogene Daten verarbeiten, klare schriftliche Vereinbarungen mit ihren Auftragsverarbeitern getroffen werden müssen. Dabei müssen die Verantwortlichkeiten, Zuständigkeiten und Pflichten detailliert festgelegt werden. Auch die Einbindung von Subunternehmen muss klar geregelt sein. Der gesamte Auftragsablauf muss formalisiert werden, um sicherzustellen, dass der Datenschutz jederzeit gewährleistet ist und personenbezogene Daten nicht unbefugt oder unverschlüsselt abgerufen werden können. Diese Regelungen sollten in einem Vertrag oder einer Vereinbarung festgehalten werden, um den Auftragsverarbeiter zu verpflichten, den Datenschutz und die Privatsphäre der betroffenen Personen zu wahren. |
| 07.08 | Schriftliche Vereinbarung mit Auftragsverarbeitern nach Art. 28 DSGVO | Eine schriftliche Vereinbarung mit Auftragsverarbeitern ist ein wichtiges Instrument des Datenschutzes gemäß Artikel 28 DSGVO. Gemäß dieser Bestimmung muss ein Verantwortlicher, der personenbezogene Daten an einen Auftragsverarbeiter übermittelt, eine schriftliche Vereinbarung abschließen, die detailliert die Verarbeitung der Daten beschreibt. Die Vereinbarung ist von entscheidender Bedeutung, da sie sicherstellt, dass der Auftragsverarbeiter die Daten nur in Übereinstimmung mit den Anweisungen des Verantwortlichen verarbeitet und einen angemessenen Schutz der personenbezogenen Daten gewährleistet. Dazu gehört auch die Begründung und Umsetzung von technischen und organisatorischen Maßnahmen durch den Auftragsverarbeiter zum Schutz der personenbezogenen Daten. Die schriftliche Vereinbarung muss auch Bestimmungen enthalten, die sicherstellen, dass der Auftragsverarbeiter die personenbezogenen Daten nur so lange speichert, wie dies erforderlich ist, und dass er die personenbezogenen Daten nicht an Dritte weitergibt, es sei denn, dies ist durch das Gesetz vorgeschrieben oder wird vom Verantwortlichen genehmigt. Die schriftliche Vereinbarung ist daher ein wichtiger Bestandteil der Erfüllung der Anforderungen der DSGVO und ein wesentliches Instrument zur Schaffung eines hohen Datenschutzniveaus. |
| 07.09 | Mitarbeiter bei Auftragnehmern sind zur Vertraulichkeit verpflichtet | Dies bedeutet, dass Personen, die für Unternehmen oder Organisationen arbeiten, die als Auftragnehmer für andere Unternehmen oder Organisationen tätig sind, verpflichtet sind, alle Informationen, die ihnen im Rahmen ihrer Arbeit zugänglich gemacht werden, vertraulich zu behandeln. Diese Verpflichtung soll sicherstellen, dass personenbezogene Daten und andere vertrauliche Informationen nicht unbefugt bekannt werden oder missbraucht werden können. Die Vertraulichkeitsverpflichtung kann in Verträgen oder Vereinbarungen zwischen den Parteien festgelegt sein oder kann auch gesetzlich vorgeschrieben sein, wie z.B. in der Datenschutz-Grundverordnung der Europäischen Union. Eine Verletzung der Vertraulichkeitsverpflichtung kann rechtliche Konsequenzen haben, wie z.B. Schadensersatzforderungen oder auch strafrechtliche Ahndung. |
| 08.01.01 | Feuerlöscher im Serverraum | Ein Feuerlöscher muss in unmittelbarer Nähe der Server aufgestellt werden, um im Falle eines Brandes schnell reagieren zu können und somit Datenverlust oder -beschädigung zu vermeiden. Dies ist ein wichtiger Teil der TOMs, um den Datenschutz zu gewährleisten und den reibungslosen Betrieb der Computer- und Serversysteme sicherzustellen. |
| 08.01.02 | Feuerlöscher in den PC-Arbeitsräumen | Feuerlöscher in PC-Arbeitsräumen sind eine wichtige Sicherheitsmaßnahme, um bei einem Brand schnell handeln und den Schaden begrenzen zu können. Sie sollten gut sichtbar und zugänglich aufbewahrt werden, um im Notfall leicht gefunden und aktiviert werden zu können. Es ist auch wichtig, dass sie regelmäßig überprüft und gewartet werden, um sicherzustellen, dass sie im Ernstfall ordnungsgemäß funktionieren. Allerdings ist zu beachten, dass bestimmte Arten von Feuerlöschern für den Einsatz in PC-Arbeitsräumen besser geeignet sind als andere, abhängig vom Brandrisiko und den verwendeten Materialien. |
| 08.01.03 | Rauch- oder Brandmelder | Ein Rauchmelder, auch Brandmelder genannt, ist ein Gerät, das in der Lage ist, Rauch und Hitze zu erkennen und Alarm zu schlagen, wenn ein Brand ausbricht. Ein typischer Rauchmelder besteht aus einem Gehäuse, Elektronik, einer Stromversorgung und einem Warnsignal wie einer Sirene. Diese Geräte sind in der Regel in Wohnungen, Büros und öffentlichen Gebäuden installiert und können Leben und Unternehmenswerte schützen, indem sie einen frühen Alarm auslösen, der es den Menschen ermöglicht, das Gebäude schnell zu verlassen und die Feuerwehr zu alarmieren. |
| 08.02 | Rauchverbot in Server- und PC-Arbeiträumen | Ein Rauchverbot in Server- und PC-Arbeitsräumen bedeutet, dass das Rauchen in diesen Räumlichkeiten nicht gestattet ist. Dies kann durch entsprechende Maßnahmen wie beispielsweise die Aufstellung von Rauchmeldern oder das Anbringen von Warnschildern durchgesetzt werden. Dies ist ein wichtiger Datenschutzaspekt, da Rauch und Feuer in diesen Räumlichkeiten nicht nur zu Sachschäden, sondern auch zu einem Verlust von Daten führen können. Durch das Rauchverbot wird das Risiko von Bränden und Datenverlusten reduziert und somit die Integrität, Vertraulichkeit und Verfügbarkeit der Daten gewährleistet. |
| 08.04.01 | Unterbrechungsfreie Stromversorgung (USV) | Eine unterbrechungsfreie Stromversorgung (USV) ist ein elektronisches Gerät, das an ein elektrisches Netzwerk angeschlossen wird und bei Stromausfall oder Netzausfall die Stromversorgung aufrecht erhält. Eine USV enthält in der Regel eine Reihe von Batterien, die als Backup-System dienen, um bei einem Stromausfall die Stromversorgung aufrechtzuerhalten, bis entweder das normale Netzwerk wieder verfügbar ist oder das System heruntergefahren werden kann. Eine USV kann in verschiedenen Größen und Kapazitäten erworben werden, von kleinen Einheiten, die für PCs oder Server geeignet sind, bis hin zu großen Anlagen, die ganze Gebäude oder Stadtteile mit Strom versorgen können. |
| 08.04.03 | Überspannungsschutzeinrichtungen | Überspannungsschutzeinrichtungen sind Geräte, die dazu dienen, elektrische Geräte und Anlagen vor Schäden durch Überspannungen zu schützen. Überspannungen können beispielsweise durch Blitzeinschläge, Schalthandlungen oder Störungen im Stromnetz entstehen. Die Schutzeinrichtungen sorgen dafür, dass die Überspannung abgeleitet und abgefangen wird, bevor sie Schäden an den angeschlossenen Geräten verursachen kann. Es gibt verschiedene Arten von Überspannungsschutzeinrichtungen, wie z.B. Überspannungsschutzsteckdosen, Überspannungsschutzmodule oder Überspannungsschutzgeräte, die in elektrischen Anlagen verbaut werden. |
| 08.05 | Klimaversorgung Serverraum | Die Klimaversorgung eines Serverraums bezieht sich auf die Technologie, die zur Regulierung der Temperatur und Luftfeuchtigkeit in einem Raum verwendet wird, in dem Server und andere elektronische Geräte betrieben werden. Ein Serverraum benötigt eine spezielle Klimaversorgung, um zu verhindern, dass zu hohe Temperaturen und Luftfeuchtigkeit die Geräte beschädigen oder die Leistung beeinträchtigen. Es besteht aus einem System von Klimaanlagen, Ventilatoren, Luftfiltern und Überwachungssensoren, die zusammen arbeiten, um eine stabile Umgebung für den Betrieb von Servern zu gewährleisten. Die Klimaversorgung eines Serverraums ist eine wichtige Komponente, um die Verfügbarkeit und Funktion von IT-Systemen zu gewährleisten. |
| 08.06.01 | Datensicherungskonzept vorhanden | Ein Datensicherungskonzept beschreibt die Maßnahmen und Prozesse, die zur Sicherung der Daten gegen Verlust oder unbefugten Zugriff ergriffen werden. Es enthält Informationen über Häufigkeit und Methoden der Datensicherung, Speicherung und Überprüfung von Backups sowie Verfahren für die Wiederherstellung von Daten im Falle eines Ausfalls. Das Datensicherungskonzept ist ein wichtiger Bestandteil des Datenschutzmanagementsystems und hilft dabei, das Risiko von Datenverlusten zu minimieren. |
| 08.06.03.02 | Datensicherung Netzwerkkomponenten | Die Datensicherung von Netzwerkkomponenten bezieht sich auf den Schutz von Daten, die auf Netzwerkgeräten wie Routern, Switches, Firewalls und anderen Netzwerkkomponenten gespeichert sind. Imn Betrieb speichern sie Daten wie Konfigurationseinstellungen, Protokolle und Benutzerdaten. Daher ist es wichtig, dass auch diese Daten regelmäßig gesichert werden. Diese Datensicherung dient dazu, die Integrität und die Vertraulichkeit der Daten auf diesen Geräten zu gewährleisten, falls es zu einem Hardware- oder Softwareausfall kommen sollte oder falls diese Geräte durch bösartige Angriffe beeinträchtigt werden. |
| 08.06.06.04 | Sicherungsdatenträger verschlüsselt | Dies bedeutet, dass der Datenträger, auf dem Sicherungskopien von Daten gespeichert werden, durch ein Verschlüsselungsverfahren geschützt ist. Dadurch wird verhindert, dass unbefugte Personen auf die gespeicherten Daten zugreifen können, falls der Datenträger verloren geht oder gestohlen wird. Die Verschlüsselung wird mithilfe eines Passworts oder eines Schlüssels auf dem Datenträger aktiviert und schützt die darauf gespeicherten Informationen vor unberechtigtem Zugriff. |
| 08.06.06.05 | Qualität und Vollständigkeit der Datensicherungen werden regelmäßig überprüft | Die Sicherung von Daten wird in regelmäßigen Abständen auf ihre Qualität und Vollständigkeit hin überprüft. Dies beinhaltet die Überprüfung der Integrität der gesicherten Daten, die Funktionsfähigkeit der Backup-Systeme sowie den Erfolg der Wiederherstellung nach einem möglichen Datenverlust. Durch diese regelmäßigen Überprüfungen wird sichergestellt, dass im Falle eines Datenverlusts eine zuverlässige und vollständige Wiederherstellung möglich ist. |
| 08.08 | Virenschutz / Schutz vor Schadsoftware | Der Virenschutz ist eine Maßnahme, die darauf abzielt, die IT-Systeme und Daten vor Schadsoftware wie Viren, Trojanern und Malware zu schützen. Hierbei werden verschiedene Sicherheitsmaßnahmen wie bestimmte Tools oder Software eingesetzt, um mögliche Bedrohungen zu erkennen und zu eliminieren. Ziel ist es, den unbefugten oder bösartigen Zugriff auf Daten und Systeme zu verhindern und somit die Integrität, Verfügbarkeit und Vertraulichkeit der Daten zu gewährleisten. |
| 08.08.05.03 | Update der Schutzsoftware automatisch | Ein ""Update der Schutzsoftware automatisch"" bezieht sich darauf, dass die Schutzsoftware eines Computers oder eines Netzwerks automatisch auf die neueste Version aktualisiert wird, sobald ein Update verfügbar ist. Dies kann dabei helfen, dass die Software immer auf dem neuesten Stand ist und alle neuen Sicherheitslücken und Bedrohungen abdeckt. Die automatische Aktualisierung spart Zeit und stellt sicher, dass der Schutz immer auf dem höchsten Niveau ist, ohne dass der Nutzer manuell eingreifen muss. Es ist jedoch wichtig sicherzustellen, dass die Updates auch tatsächlich automatisch und sicher durchgeführt werden. |
| 08.09 | Spamfilter | Ein Spamfilter ist eine Software, die dazu dient, unerwünschte E-Mails aus dem Posteingang des Empfängers herauszufiltern. Der Filter analysiert E-Mails nach verschiedenen Kriterien, wie z.B. Absender, Betreff, Inhalt, Anhänge oder Verhaltensmuster. Dabei wird eine E-Mail auf Verdacht geprüft und je nach Ergebnis als Spam markiert und in einen separaten Ordner verschoben oder direkt gelöscht. Ein gut funktionierender Spamfilter hilft, den Posteingang von lästiger Werbung, betrügerischen Nachrichten und Schadsoftware zu befreien und schützt so die Privatsphäre des Empfängers. |
| 08.10 | Intrusion Detection System (IDS) / Intrusion Prevention System (IPS) | Ein Intrusion Detection System (IDS) ist eine Software oder Hardware, die Netzwerk-Traffic überwacht, um potenzielle Angriffe oder Anomalien zu erkennen. Das IDS analysiert den Netzwerkverkehr oder Ereignisprotokolle, um festzustellen, ob eine Bedrohung beispielsweise durch einen Angriff auf ein System vorliegt. Ein Intrusion Prevention System (IPS) ist eine Weiterentwicklung des IDS, das zusätzlich in der Lage ist, aktiv auf eine Bedrohung zu reagieren, indem es bestimmte Aktionen ausführt, um den Angriff zu blockieren oder abzuwehren. Beispielsweise kann das IPS eine Firewall so konfigurieren, dass der angreifende Datenfluss unterbrochen wird oder gezielte Aktionen auslösen, um einen Angriff zu stoppen. Zusammenfassend lässt sich sagen, dass sowohl das IDS als auch das IPS speziell entwickelte Systeme zur Überwachung von Netzwerkaktivitäten sind. Während IDS die Aufgabe hat, Angriffe zu erkennen, kann IPS gezielte Maßnahmen zur Abwehr ergreifen. |
| 08.12 | Notfallplan | Ein Notfallplan ist ein Dokument, das eine strukturierte Methode beschreibt, wie ein Unternehmen auf unerwartete Ereignisse oder Katastrophen reagiert. Ziel des Notfallplans ist es, sicherzustellen, dass das Unternehmen in der Lage ist, schnell und effektiv auf kritische Situationen zu reagieren, um Schäden zu minimieren und die Geschäftsprozesse so schnell wie möglich wieder aufzunehmen. Ein Notfallplan kann auch die Zuständigkeiten und Verantwortlichkeiten der beteiligten Mitarbeiter sowie spezifische Schritte für die Restaurierung kritischer Systeme oder Infrastrukturen aufzeigen. |
| 08.13 | Monitoring von Hardware und Services | Das Monitoring von Hardware und Services bezieht sich auf die regelmäßige Überwachung der physischen Geräte wie Server, Netzwerkgeräten und Arbeitsstationen sowie der darauf bereitgestellten Dienste und Anwendungen. Dies kann durch den Einsatz von spezieller Software wie Überwachungstools erreicht werden. Durch das Monitoring können potenzielle Probleme wie Ausfälle, Leistungsprobleme oder Sicherheitsverletzungen identifiziert und rechtzeitig behoben werden. Durch das regelmäßige Monitoring wird somit die Verfügbarkeit, Zuverlässigkeit und Sicherheit der Hardware und Services gewährleistet. |
| 09.09 | Trennung besonders sensibler Daten | Die Trennung besonders sensibler Daten ist eine Datenschutzmaßnahme, bei der bestimmte Arten von personenbezogenen Daten getrennt von anderen Datenkategorien verarbeitet und gespeichert werden. Hierbei handelt es sich um Daten, die ein höheres Schutzniveau erfordern, da sie besondere Risiken für die Privatsphäre und Freiheit der betroffenen Personen darstellen können. Dazu gehören zum Beispiel Gesundheitsdaten, biometrische Daten, genetische Daten oder Daten zu sexuellen Vorlieben. Durch die Trennung der sensiblen Daten von anderen Datenkategorien wird sichergestellt, dass nur befugte Personen Zugriff auf diese Daten haben und geeignete Schutzmaßnahmen ergriffen werden können, um die Vertraulichkeit und Integrität der Daten zu gewährleisten. |
| 08.06.03.03 | Datensicherung der Konfiguration der Datensicherung | Die Datensicherung der Konfiguration der Datensicherung bezieht sich darauf, dass auch die Einstellungen und Konfigurationen der Datensicherung selbst regelmäßig gesichert werden. Hierbei geht es darum, sicherzustellen, dass im Falle eines Datenverlustes oder einer Systemstörung sämtliche Einstellungen und Konfigurationen zur Wiederherstellung der Datensicherung zur Verfügung stehen. Dazu gehören beispielsweise die Speicherorte der Backups, die Art der Backups und deren Zeitpläne sowie sämtliche sonstigen Einstellungen und Konfigurationen, die für die Datensicherung relevant sind. Durch die regelmäßige Sicherung der Konfiguration kann eine schnelle Wiederherstellung des Systems und der Daten gewährleistet werden. |
| 08.06.03.05 | Datensicherung von Netzwerkkomponenten | Die Datensicherung von Netzwerkkomponenten stellt sicher, dass wichtige Daten und Konfigurationen von Netzwerkgeräten wie Routern, Switches und Firewalls effektiv gesichert und wiederhergestellt werden können, falls ein Hardware-Ausfall, Hackerangriff oder unbeabsichtigter Datenverlust auftritt. Die Datensicherung umfasst in der Regel die Erstellung von Backups, die auf externen Speichermedien oder in der Cloud gespeichert werden, sowie das regelmäßige Überprüfen und Testen der Backup-Wiederherstellungsfunktionen. Eine effektive Datensicherungsstrategie für Netzwerkkomponenten ist eine wichtige Maßnahme zum Schutz von kritischen Unternehmensdaten und zur Aufrechterhaltung der Netzwerkstabilität. |
Copyright © 2025 Pimcore, alle Rechte vorbehalten | Impressum | Datenschutzrichtlinie | Allgemeine Geschäftsbedingungen (PTC) | TOMs
