Technisch-organisatorische Maßnahmen

1.1 Zutrittskontrolle

1.1.1 Zutrittskontrolle (Osnabrück)

In den einzelnen Bereichen des Firmengebäudes wird die Zutrittskontrolle durch ein elektronisches Zutrittskontrollsystem geregelt. Im Innenbereich des Firmengebäudes sind unterschiedliche Sicherheitszonen eingerichtet, für die, zeitlich begrenzt, unterschiedliche Berechtigungen eingerichtet werden. Jeder Mitarbeiter erhält einen Zugangscode, der einer Gruppe zugeordnet ist, die den Zugangsbereich regelt.

Es ist ein Empfang eingerichtet, der den Zutritt von betriebsfremden Personen kontrolliert. Besucher müssen klingeln und sich nach Zutritt zum Gebäude beim Empfang anmelden. Besucher werden nicht registriert. Innerhalb des Firmenbereichs werden die Besucher geführt. Dabei liegt es in der Verantwortung des Empfangs, die Besucher zu den jeweiligen Mitarbeitern zu führen. Jeder Mitarbeiter ist dann für seine Besucher verantwortlich.

Nebenausgänge, Fluchttüren und sonstige Notausgänge können von außen nicht geöffnet werden.

1.1.2 Zutrittskontrolle (Hennef)

Die Büroflächen sind Teil eines Hotelbetriebes. Der Zutritt zu dem Bürobereich ist gesondert durch Sicherheitsschlösser gesichert. Die Ausgabe von Türschlüsseln sind protokolliert. Die Hotelanlage ist an jedem Tag rund um die Uhr besetzt. Zusätzlich wird das Gelände über den Empfang des Hotelbetriebs Videoüberwacht.

Besucher müssen klingeln oder sich im Empfangsbereich des Hotelbetriebs anmelden. Besucher werden nicht registriert. Innerhalb des Firmenbereichs werden die Besucher geführt. Jeder Mitarbeiter ist für seine Besucher verantwortlich.

Nebenausgänge, Fluchttüren und sonstige Notausgänge können von außen nicht geöffnet werden.

1.1.3 Zutrittskontrolle (Rechenzentrum Terra Cloud GmbH, Hüllhorst)

Genaue Zutrittskontrollen für Rechenzentrum der Terra Cloud GmbH, Hüllhorst können Sie auf der Website des Betreibers einsehen und herunterladen werden. Link: Terra Cloud – Rechenzentrum

1.1.4 Zutrittskontrolle (Rechenzentrum Surfplanet GmbH, Köln)

Genaue Zutrittskontrollen für Rechenzentrum der Surfplanet GmbH in Köln können Sie auf der Website des Betreibers einsehen und herunterladen werden. Link: SurfPlanet – Rechenzentrum

1.2 Zugangskontrolle

Die Zugangskontrolle verhindert, dass Datenverarbeitungsanlagen von Unbefugten genutzt werden können. Die Server im Rechenzentrum werden ausschließlich von namentlich benannten Mitarbeitern der DMRZ administriert und diese verfügen hierzu über entsprechende Benutzerkonten. Die Administration erfolgt über das Internet mittels verschlüsselter Verbindungen. Mitarbeiter des Rechenzentrumbetreibers haben keinen Zugang zu Kundendaten oder der Datenverarbeitungssoftware.

Um nicht autorisierten Zugang über das Internet zu verhindern sind Serversysteme grundsätzlich durch Firewalls geschützt. Zum weiteren Schutz sind Kunden-/Gast-Netzwerke durch eigenständige Firewalls gesichert und abhängig von der Leistungsbeschreibung durch ein dediziertes virtuelles Netzwerk von den anderen Betriebsbereichen abgetrennt. Zugriffe auf das Management Netzwerk werden über eine eigene hardwarebasierte Firewall geschützt.

Der Zugang zu Rechnern in den Büroräumen der DMRZ wird über Benutzerkonten kontrolliert. Hierzu hat jeder Mitarbeiter auf seinem Rechner ein eigenes Benutzerkonto. Der Zugriff auf das bürointerne Netzwerk von außerhalb der Büroräume ist ausschließlich über eine VPN Verbindung (Virtual Private Network) möglich. Das bürointerne Netzwerk wird ebenfalls von einer hardwarebasierten Firewall geschützt.

Der Zugang zu den Datenverarbeitungssystemen ist mit Benutzerkennung und einem sicheren Authentifizierungsverfahren geschützt. Zusätzlich werden Zugriffe auf Core-Systeme durch entsprechende ACLs (Access Control Lists) geschützt.

Es sind Regeln zur Bildung eines sicheren Passworts festgelegt.

1.3 Zugriffskontrolle

Die Zugriffskontrolle gewährleistet, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

In den vom Auftragnehmer genutzten Datenverarbeitungssystemen sind Berechtigungsprofile hinterlegt, in denen die zugriffsberechtigten Personen festgelegt sind. Die Rechte werden in einem geregelten Verfahren vergeben, und die Notwendigkeit der bestehenden Rechte wird regelmäßig kontrolliert. Die Einrichtung und Freigabe werden dokumentiert.

Der Auftragnehmer hat die technischen und organisatorischen Maßnahmen getroffen, die sicherstellen, dass ausscheidenden Mitarbeitern sämtliche Unterlagen, Zugangsberechtigungen und Zugriffsrechte entzogen bzw. gelöscht werden um einen unberechtigten Zugriff auf die Daten des Auftraggebers zu verhindern.

Der Zugang zu Daten über Kunden für den DMRZ Support ist auf ein Mindestmaß beschränkt. Dieser Zugang erfolgt über eine eigene Installation. Damit ist es möglich, Informationen zu den Kunden einzusehen, die für die Aufgaben des Supports notwendig sind. Diese Rolle muss jedem Supportmitarbeiter individuell zugewiesen werden.

Der Zugriff auf technischer Ebene auf Kundendaten, z.B. über Serverinstanzen / Cloud Account des Kunden, ist ausschließlich eigens dafür benannten Mitarbeitern aus dem Team „Service & Support“ der DMRZ möglich. In diesem Fall verwenden besagte Mitarbeiter jeweils eigene Benutzerkonten. Der Zugriff ist nur gestattet, wenn eine Supportaufgabe vorliegt, die nicht durch den Kunden oder den Support alleine gelöst werden kann und der Auftraggeber seine Einwilligung zum Zugriff schriftlich erteilt hat. Diese wird im Ticketsystem protokolliert. Sollte die Aufgabe auch durch direkten Zugriff auf die Daten nicht lösbar sein, kann eine lokale Kopie der Daten z.B. für Debuggingzwecke erstellt und dem verantwortlichen Softwareentwickler / Vorlieferant zugänglich gemacht werden.

1.4 Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

DMRZ verarbeitet die Daten mehrerer Kunden auf den gleichen Servern. Die strikte Trennung der Daten einzelner Kunden voneinander wird durch eine Reihe von Maßnahmen sichergestellt: Jeder Kunde hat eine eigene virtuelle Cloud Umgebung mit eigenen Benutzerkonten innerhalb einer mehrstufig automatisierten Cloud Betriebsplattform, die wiederum Multi-Tenant fähig ist. Bei Cloud Umgebungen, die ausschließlich über das DMRZ verwaltet werden oder eine Integration zwischen der automatisierten Cloud Betriebsplattform und der über das DMRZ gemanagten Cloud Umgebung notwendig ist, übernehmen DMRZ Mitarbeiter die Trennung und oder Integration der Systeme und Netzwerke.

2.1 Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist:

Wie unter 1.4 beschrieben unterscheidet das DMRZ zwischen dem Betrieb von Systemen innerhalb einer durch das DMRZ verwalteten Umgebung (Full-Managed) und einer automatisierten Cloud Betriebsplattform (Self-Managed) bei der die Pflege dieser Systeme liegen jedoch vollkommen in den Händen des Kunden. Damit liegen auch alle Sicherungsmaßnahmen in den Händen des Kunden. Das Management Netz der DMRZ ist von Kunden- / Gastnetzwerken abgekapselt.

Bezugnehmend auf die Cloud Betriebsplattform sind Kunden-Netze im Standard durch VLAN voneinander getrennt. Diese VLANs werden automatisch verwaltet. Eine Doppelvergabe ist nicht möglich. Ebenfalls werden öffentliche IP Adressen automatisiert vergeben. Es existiert eine virtuelle Firewall vor jedem durch den Kunden oder das DMRZ angelegtes Netzwerk. Abhängig von der Partnerstufe und durch das DMRZ vergeben Rechte innerhalb der Cloud Betriebsplattform kann diese durch den Kunden vollständig eigenständig verwaltet werden.

Der Kunde kann kostenpflichtig die Erstellung von regelmäßigen Backups hinzubuchen und ebenfalls eigenständig verwalten. Die Verschlüsselung der Backup Datensätze ist obligatorisch und erfolgt kundenseitig. Diese Passwörter sind der DMRZ nicht bekannt und können auch nicht ausgelesen oder zurückgesetzt werden.

Bei der durch das DMRZ verwalteten Umgebung werden Netzwerke sowie VLANs und Firewalls nur von speziell geschulten Mitarbeitern gepflegt. Gleiches gilt für die Verwaltung von öffentlichen IP Adressen.

2.2 Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind. Zugriffe auf Management Systeme werden protokolliert. Konfigurationsänderungen werden protokolliert und gespeichert. Zur Gewährleistung der Eingabekontrolle sind die von Softwareherstellern mitgebrachen Log Mechanismen
und Transaktionsprotokolle, zur Protokollierung von Eingaben für Anwendungen, vorhanden. Zusätzlich werden Änderungen mittels eines Ticketbasierenden Change Management Software System durchgeführt, protokoliert und archiviert.

Ein mehrstufiges Sicherheitskonzept stellt die Verfügbarkeit der Daten sicher. Alle physikalischen Datenträger (Festplatten) sind als RAID-Verbund ausfallsicher angelegt und jede Komponente des verwendeten Storage Area Network (SAN) ist redundant vorhanden. Der Status der Datenträger wird laufend automatisch überwacht und defekte Festplatten werden unverzüglich ausgetauscht.

Für das interne Management und das interne Office werden Backups nach einem Backup-Plan durchgeführt.

Standardmäßig werden keine eigenständigen / zusätzlichen Backups von Kundensystemen vorgenommen. Wie erwähnt, bietet die DMRZ jedoch entsprechende Backuplösungen kostenpflichtig an. Bei ausgewählten Produkten/Diensten (meist aus dem Bereich Full-Managed / Cloud Solutions) übernimmt das DMRZ sogenannte Managed Service Leistungen. Bei diesen Leistungen kann ein Backup enthalten sein, Details können den entsprechenden Leistungsbeschreibungen entnommen werden.

Die Rechenzentren der DMRZ bietet durch vollklimatisierte Sicherheitsräume zusammen mit einer Löschanlage weitgehenden Schutz vor Schäden durch äußere Einflüsse wie Feuer, Gas und Wasser. Die Rechenzentrumsbetreiber der DMRZ garantieren zusätzlich eine unterbrechungsfreie Stromversorgung. Die Rechenzentrumsbetreiber sind in Anlage 2 – Subunternehmer/Unterauftraggeber aufgeführt. Weitere Details gehen aus den entsprechenden Leistungsbeschreibungen der Betreiber detailliert hervor.

4.1 Datenschutzmanagement

DMRZ ist sich seiner Verantwortung in Bezug auf Datenschutz sehr bewusst. Deshalb wird dem Datenschutzmanagement eine besondere Stellung in unserem Haus zuteil.

Unsere Mitarbeiter sind umfassend mit dem Thema durch Schulungen und andere Sensibilisierungsmaßnahmen vertraut gemacht worden.

Wir sind uns aber auch der Tatsache bewusst, dass Datenschutz und IT-Sicherheit zwei Seiten einer Medaille darstellen und damit untrennbar miteinander verbunden sind. Dem tragen wir in einer Richtlinie zur Informationssicherheit und einer IT-Sicherheitsrichtlinie Rechnung. Deren Umsetzung wird durch sämtliche Mitarbeiter unseres Unternehmens sichergestellt.

Das Datenschutzmanagement wurde in die bestehenden Qualitätsicherungssysteme, sowie in das Changemanagement und Ticketing System integriert und orientiert sich an den in den Systemen bereits etablierten Berechtigungsstrukturen.

Der Aufbau unseres Datenschutz- und IT-Sicherheitsmanagements orientiert sich am BSI Grundschutz.

4.2 Incident-Reponse-Management

Innerhalb der DMRZ wurde ein sehr umfangreiches Incident und Ticket Systeme eingeführt. Anfragen sind ausschließlich über diese Plattform zu stellen und werden innerhalb des Systems entsprechend verwaltet und archiviert. Telefonische Anfragen werden von den Mitarbeitern in eine schriftliche Anfrage verwandelt.

Für die internen Prozesse zur Qualitätssicherung, Installationsüberwachung und zum Zwecke des Change-Managements wird eine weitere, unabhängige „interne“ Plattform betrieben. Zu diesem System haben nur autorisierte Mitarbeiter Zugriff.

Alle Mitarbeiter, die mit der Entwicklung, der Bereitstellung und der Unterstützung der über die DMRZ angebotenen Dienste und Produkte in Kontakt kommen, wurden geschult und haben sich mit ihren Aufgaben in diesem Zusammenhang vertraut gemacht.

4.3 Datenschutzfreundliche Voreinstellungen

Die zur Eingabe von Daten bestehenden Portale sind so konzipiert, dass ausschließlich Daten erhoben werden, die zur Ausführung der bestellten Leistung entweder für den Bestellprozess selbst, zur Installation oder zur Durchführung von Wartungsarbeiten benötigt werden.

Die Art der Daten, die vom Auftraggeber erfasst und verarbeitet werden, liegen rein in der Verantwortung des Auftraggebers. So hat der Auftraggeber das dem Verarbeitungsrisiko angemessene Schutzniveau zu ermitteln und die diesbezügliche Schutzbedarfsklassifizierung zu dokumentieren.

4.4 Auftragskontrolle

Ziel der Auftragskontrolle ist es, zu gewährleisten, dass die Verarbeitung personenbezogener Daten durch einen Dritten im Auftrag Ihres Unternehmens (Auftragsdatenverarbeitung) nur entsprechend den Weisungen des Auftraggebers erfolgt.

Zur Auftragskontrolle wird ein definierter Prozess verwendet, der insbesondere folgende Inhalte betrachtet: Aufträge werden nur nach einer vorherigen Überprüfung der Zulässigkeit bei Auftragsdatenverarbeitungen schriftlich getroffen. Zusätzliche Vereinbarungen bedürfen ebenfalls der Schriftform. Der Auftrag enthält eine klare Abgrenzung der Kompetenzen und Pflichten zwischen Auftragnehmer und Auftraggeber. Unterauftragsverhältnisse
sind offen zu legen und entsprechend zu überprüfen.

Vor der Vergabe erfolgt eine Überprüfung der technisch- organisatorischen Maßnahmen des Auftragnehmers. Wenn erforderlich, werden zusätzliche Sicherheitsmaßnahmen definiert und umgesetzt. Zur Überwachung der ordnungsgemäßen Vertragsausführung erfolgt mindestens einmal im Jahr eine Kontrolle des Auftragnehmers. Diese kann auch durch einen entsprechenden Nachweis erbracht werden (z.B. TÜV Audit).

Die technischen und organisatorischen Maßnahmen können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden. Wesentliche Änderungen sind schriftlich festzuhalten und dem Auftraggeber bekannt zu geben.

Weiterführende Informationen sind den Leistungsbeschreibungen der Produkte/Dienste/Verträge zu entnehmen. Zusätzlich wird auf die Leistungsbeschreibungen der Vorlieferanten sowie Subunternehmer/Unterauftragsnehmer verwiesen. Dieser Verweis ist gerade in Bezug auf den Betrieb von IT und Kommunikations Systeme zu beachten.