Anlage zu §9 Satz 1 (technisch-organisatorische Maßnahmen)
1. Zutrittskontrolle
- Schlüsselsysteme
- Besucherbereich
- biometrische Scanner (Fingerabdruck, Iris, Handvenen usw.)
- Chipkarte
- Wachdienst
- Alarmsysteme
- Videoüberwachung
- Wachhund
- abschließbarer Serverschrank
- separater Serverraum
- Vereinzelungsanlagen (Drehkreuz etc.)
- Schranken
- Knaufsysteme (statt Türklinken)
- Bewegungsmelder
- Sensoren (Temp.)
- PIN-Eingabe
- Fenster einbruchssicher/einbruchshemmend
- einbruchsichere Luftschächte/Notzugänge
- selbstschließende Türen
- Pförtner
- Verlustregelung für Schlüssel und Zugänge
- Sichtbarkeit der Umgebung (Beleuchtung)
2. Zugangskontrolle
- Zugangsdaten
- automatische Zugangssperrung nach x Fehleingaben
- Passworteingabe nach Bildschirmschoner
- Bildschirmschoner nach x Minuten
- externe Bootmöglichkeit abstellen
- Verschlüsselung der Daten
- Geheimhaltung der Passwörter
- Passwortrichtlinie
- Firewall / IDS (Intrusion Detection System)
- Zertifikate
3. Zugriffskontrolle
- Berechtigungskonzept
- Verschlüsselung
- Admin-Rechte nur wenn wirklich nötig
- Sicheres Löschen von Daten
- Protokollierung
- 4-Augen-Prinzip
- zeitliche Begrenzung der Zugriffsmöglichkeit
- zeitliche Beschränkung der Zugriffsdauer
- Größenbeschränkung bei Datenbankzugriffen
- Aktenvernichter
- Stahlschränke
- Safe (feuerfest!?)
4. Weitergabekontrolle
- Datenträgerlöschung / -entsorgung
- Übergabeprotokolle
- Verschlüsselung / VPN
- elektronische Signatur
- welche Daten dürfen weitergegeben werden
- Anonymisierung, Pseudonymisierung
- sorgfältige Auswahl des Transportunternehmens
- Transportsicherung
- Firewall und AntiVirus
- Fernwartung nur mit verschlüsselter Leitung
- stichprobenartige Taschenkontrollen (nur bei bestehendem Verdacht auf Datenverlust o. ä.; Zeitraum ist eingeschränkt )
5. Eingabekontrolle
- softwareseitige, automatisierte Protokollierung
- manuelle Einträge
- Beschränkung der änderbaren Datenmengen
- elektronische Signatur
- Checksummen
- Erfassung der DV-Anlage
- Plausibilitätskontrolle
- 4 Augen Prinzip
6. Auftragskontrolle
- Vertragsgestaltung
- Eignungsnachweis durch Zertifikate (DIN27001)
- Kontrollpflichten des Auftraggebers müssen wahrgenommen werden; Stichpunkt: AUFTRAGSDATENVERARBEITUNG!!
- Ist ein DSB bestellt?
- Wurden die Mitarbeiter auf das Datengeheimnis verpflichtet?
- Sind Unterauftragsverhältnisse definiert?
7. Verfügbarkeitskontrolle
- geeignete Feuerlöscher
- Backups / Datensicherungsstrategie
- Rücksicherungskontrolle
- Master-Passwörter in den Safe
- Redundante Stromversorgung / USV
- Updates installieren
- Patches installieren
- Redundante Datenträgersysteme (RAID, NAS...)
- Virtualisierung
- Klimaanlage im Serverraum
- Notfallplanung
8. Trennungskontrolle
- Mandantenfähigkeit
- Testsystem von Echtsystem trennen
- restriktiver Einsatz von Datenbankabfragen
- logische Trennung von Netzwerken (VLANs)