Die nachfolgenden Maßnahmen richten sich an alle Beschäftigten der Universität Göttingen, die Aufgaben im Bereich des IT-Betriebs wahrnehmen oder Verantwortung im organisatorischen Bereich tragen. Hierzu zählen insbesondere IT-Abteilungsleiter, IT-Beauftragte, Verfahrensverantwortliche, System- und Netzadministratoren, Applikationsbetreuer, Benutzerservice, Programmentwickler und andere. Weiterhin werden hier die Maßnahmen für den IT-Anwender vorausgesetzt.
Im Interesse einer möglichst übersichtlichen Darstellung werden einige Maßnahmen wiederholt, wobei sie gelegentlich näher ausgeführt oder erweitert werden. Bei spezifischen Aufgabenstellungen, insbesondere im Umfeld von System- und Netzadministration, kann eine Abweichung in einzelnen Punkten der zuvor behandelten Maßnahmen notwendig sein. In jedem Fall ist aber der zugrunde liegende Sicherheitsgedanke nicht außer Kraft zu setzen, sondern der gegebenen Situation anzupassen.
Verantwortlich für Initiierung: Zuständige Leitung
Verantwortlich für Umsetzung: IT-Personal, IT-Anwender
Fragen der Informationssicherheit und des Datenschutzes müssen bei Neubeschaffungen von IT-Systemen und der Einführung oder wesentlichen Änderun-gen von IT-Verfahren bereits im Planungsstadium berücksichtigt werden.
Soweit personenbezogene Daten verarbeitet werden, ist auch die oder der zuständige Datenschutzbeauftragte frühzeitig einzubinden.
Verantwortlich für Initiierung: Fachverantwortliche
Verantwortlich für Umsetzung: IT-Personal, IT-Anwender
Für jedes IT-Verfahren sind die Verantwortlichkeiten in den jeweiligen Betriebs-konzepten eindeutig festzulegen.
Konflikte bei Aufgabenzuweisungen und Verantwortungsbereichen sollen durch eine Rollentrennung verhindert werden. Insbesondere bei allen administrativen Anwendungen, die gesetzlichen Anforderungen genügen müssen und Anwendungen, bei denen ein erhöhter Schutzbedarf vorliegt, muss ein Rollenkonzept die Rollentrennung sicherstellen.
Jede Person ist über die ihr übertragenen Verantwortlichkeiten und die sie betreffenden Bestimmungen zu informieren.
Verantwortlich für Umsetzung: IT-Personal, IT-Dienstleister
Zur Gewährleistung der Informationssicherheit eines IT-Verfahrens ist eine Dokumentation und Beschreibung zu erstellen. Hierzu gehören insbesondere folgende Angaben:
Aufgabe des Verfahrens
Systemübersicht, Netzplan
Schnittstellen zu anderen Verfahren
Datenbeschreibung
Vertretungsregelungen, insbesondere im Administrationsbereich
Zugriffsrechte
Organisation, Verantwortlichkeit und Durchführung der Datensicherung
Installation und Freigabe von Software einschließlich von Softwareaktualisierungen
Zweck, Freigabe und Einsatz selbst erstellter Programme
Dienstanweisungen
Arbeitsanleitungen für Administrationsaufgaben u.ä.
auftretende Informationssicherheits-Ereignisse aller Art
Notfallregelungen
Wartungsvereinbarungen
Beschreibung von Verarbeitungstätigkeiten gem. Art. 30 DSGVO
Verantwortlich für Initiierung: Fachverantwortliche
Verantwortlich für Umsetzung: Fachverantwortliche
Eine schriftliche Vereinbarung ist Voraussetzung für alle im Auftrag der Stiftungsuniversität Göttingen betriebenen IT-Verfahren. Es sind eindeutige Zuweisungen der Verantwortlichkeit für die Informationssicherheit und entsprechende Kontrollmöglichkeiten festzulegen.
Sofern im Rahmen der Auftragsverarbeitung personenbezogene Daten verarbeitet werden, sind die Regelungen der DSGVO (insbesondere Art. 28) zu beachten. Der bzw. die Datenschutzbeauftragte der Universität Göttingen bzw. der Uni-versitätsmedizin Göttingen ist einzubeziehen.
Verantwortlich für Umsetzung: Fachverantwortliche, IT-Personal
Zur Erreichung eines angemessenen Sicherheitsniveaus für IT-Systeme ist eine Standardisierung der technischen Ausstattung und der Konfiguration anzustre-ben. Die oder der ISB und die zentralen IT-Dienstleister beraten die Betreiber der IT-Verfahren.
Zentrale IT-Dienste wie Nutzerservice, Datensicherungsmaßnahmen, Ablage von Daten auf zentralen Fileservern, Ausführung von Programmen auf Anwendungs-servern, Softwareverteilung, -aktualisierung, -inventarisierung und -lizenzverwal-tung, E-Mail unterstützen einen reibungslosen IT-Einsatz und verbessern das In-formationssicherheitsniveau. Entsprechende Dienste sind möglichst zentral anzubieten.
Maßnahmen zur Abwehr von Schadsoftware sind ebenfalls zu zentralisieren.
Beim Einsatz netzwerkweit operierender Installations- und Inventarisierungswerkzeuge sowie für Fernzugriffe, z.B. des Nutzerservice, sind besondere Maßnahmen zum Schutz vor Missbrauch zu ergreifen. Die Anwender sind vor dem Einsatz solcher Werkzeuge zu informieren.
Verantwortlich für Initiierung: Zuständige Leitung
Verantwortlich für Umsetzung: IT-Personal
Durch die zentrale Bereitstellung wesentlicher IT-Dienste durch die IT-Dienstleister werden die Einrichtungen der Stiftungsuniversität Göttingen entlastet, um ihre eigentlichen Aufgaben besser erfüllen zu können. Durch eine Zentralisierung von IT-Diensten wird eine verbesserte Informationssicherheit erreicht.
Die Einrichtungen der Stiftungsuniversität Göttingen sollen auf zentrale IT-Dienste der IT-Dienstleister zurückgreifen. Eigene IT-Systeme dürfen nur betrieben werden, wenn entsprechende zentrale IT-Dienste für die eigenen Aufgabenstellungen nicht zur Verfügung stehen.
Verantwortlich für Initiierung: Zuständige Leitung / Fachpersonal
Verantwortlich für Umsetzung: Zuständige Leitung
Für alle von IT-Personal wahrgenommen Aufgaben sind Vertretungsregelungen erforderlich. Die Vertretungen müssen alle hierfür erforderlichen Tätigkeiten beherrschen; ihnen sollen Arbeitsanweisungen und Dokumentationen zur Verfügung gestellt werden.
Die Vertretungsregelung muss im System abgebildet sein und darf nicht durch die Weitergabe von Passwörtern erfolgen. Hiervon ausgenommen sind systemspezifische, nicht personenbezogene Nutzungskonten (zum Beispiel root bei UNIX-Systemen). Dort soll der Vertreter nur im Bedarfsfall auf das an geeigneter Stelle hinterlegte Passwort des Nutzungskontos zurückgreifen können.
Die Einhaltung von Anforderungen an die Rollentrennung ist sicherzustellen.
Verantwortlich für Initiierung: Gebäudemanagement / ISK
Verantwortlich für Umsetzung:Gebäudemanagement
Zur Sicherung der IT-Infrastruktur ist eine Vielzahl baulicher und technischer Vorgaben zu beachten. Technische Maßnahmen zur Infrastruktur sind beispielsweise im Grundschutzkompendium des BSI* beschrieben. Die Zuständigkeit für Brandschutz liegt bei der Feuerwehr und für die weitere Sicherheitsinfrastruktur bei der Stabsstelle Sicherheitswesen/Umweltschutz der Universität. Folgende Maßnahmen zur Sicherung der IT-Infrastruktur sind zu beachten:
Alle IT-Systeme mit typischer Serverfunktion, einschließlich der Peripheriegeräte (Konsolen, externe Platten, Laufwerke u. ä.), sind in separaten, besonders gesicherten Räumen aufzustellen.
Der Zugang Unbefugter zu diesen Räumen muss zuverlässig verhindert werden.
Es ist zu prüfen, welche Serverräume Reinigungs- und externes Servicepersonal nur unter Aufsicht betreten darf.
Die Türen dürfen nur durch geeignete Schließsysteme zu öffnen sein und sollen selbsttätig schließen; verwendete Schlüssel müssen kopiergeschützt sein.
Für die Schlüsselverwaltung sind besondere Regelungen erforderlich, die eine Herausgabe an Unbefugte ausschließen. Der Zutritt muss auf diejenigen Personen begrenzt werden, deren Arbeitsaufgaben dieses erfordert.
Je nach der Schutzbedürftigkeit sowie in Abhängigkeit von äußeren Bedingungen (öffentlicher zugänglicher Bereich, Lage zur Straße usw.) sind besondere bauliche Maßnahmen, wie zum Beispiel einbruchsichere Fenster und Türen, Bewegungsmelder o. ä., zur Verhinderung von gewaltsamen Eindringen vorzusehen.
Eine Zentralisierung von Serverräumen ist anzustreben.
Verantwortlich für Initiierung: Gebäudemanagement / IT-Dienstleister
Verantwortlich für Umsetzung:Gebäudemanagement
Vernetzungsinfrastruktur (Switches, Router, Wiring-Center u. ä.) ist grundsätzlich in verschlossenen Räumen oder in nicht öffentlich zugänglichen Bereichen in verschlossenen Schränken einzurichten, die gegen unbefugten Zutritt und Zerstörung gesichert sind. Maßnahme I.12 gilt entsprechend.
Verantwortlich für Initiierung: Zuständige Leitung
Verantwortlich für Umsetzung: IT-Dienstleister, Gebäudemanagement, IT-Personal
Die Netzwerkinfrastruktur ist klar zu strukturieren sowie aktuell und vollständig zu dokumentieren.
Anträge auf Erweiterungen und Veränderungen an der Netzwerkinfrastruktur (beispielsweise Verkabelung, Netzwerkverteiler, Funknetze) sind mit der oder dem zuständigen ISK abzustimmen und bei den zuständigen zentralen Stellen (Gebäudemanagement für die Universität, G3-7 für die Universitätsmedizin) einzureichen.
Verantwortlich für Umsetzung:je nach Auftraggeber ISK, IT-Dienstleister, Gebäudemanagement
Fremdpersonal, das in gesicherten Räumen mit IT-Ausstattung (z.B. Serverräume) Arbeiten auszuführen hat, muss beaufsichtigt und die Arbeiten müssen dokumentiert werden.
Für regelmäßig eingesetztes und eingewiesenes und verpflichtetes Fremdpersonal kann auf eine Beaufsichtigung verzichtet werden. Die Ausnahmen sind zu dokumentieren.
Fachfremde Personen (z.B. Reinigungspersonal), die Zugang zu gesicherten IT-Räumen benötigen, müssen über den Umgang mit IT-Ausstattung belehrt wer-den.
Wenn bei Arbeiten durch Fremdpersonal, auch im Rahmen der Fernwartung, die Möglichkeit des Zugriffs auf schutzbedürftige Daten besteht, muss dieses auf das Datengeheimnis verpflichtet werden. Bei Zugriff auf personenbezogene Daten muss dieses auf das Datengeheimnis verpflichtet sein. Für die Wartung und Instandhaltung sind dann Verträge gemäß Art. 28 DSGVO abzuschließen.
Die Beschaffung von Soft- und Hardware und die Entwicklung von Software sind mit der oder dem zuständigen ISK abzustimmen. Dabei sind die Standards gemäß I.6 und Sicherheitsmaßnahmen nach dem Stand der Technik zu beachten. Die fachlichen und technischen Anforderungen müssen vorher spezifiziert sein.
Auf IT-Systemen der Stiftungsuniversität Göttingen darf nur Software installiert werden, die zur Erfüllung der dienstlichen Aufgaben erforderlich ist.
Das Einspielen von Software insbesondere aus dem Internet oder das Starten von per E-Mail erhaltener Software ist nur gestattet, wenn sichergestellt ist, dass von dieser Software keine Gefährdung für IT-Systeme oder das Datennetz ausgeht.
Im Zweifelsfall ist die Zustimmung der zuständigen Leitung einzuholen. Sofern erforderlich steht die oder der ISB der Leitung beratend zur Seite.
Die Entwicklung oder Anpassung von insbesondere serverbasierter Software sollte nicht in der Produktionsumgebung erfolgen. Die Überführung der Software von der Entwicklung in den Produktionsbetrieb bedarf der Freigabe durch den zuständigen Fachverantwortlichen.
Auf allen Arbeitsplatzrechnern ist grundsätzlich ein Virenscanner einzurichten, der automatisch alle eingehenden Daten und alle Dateien überprüft. Regelmäßig (möglichst automatisiert) ist der Virenscanner inkl. der Signaturen zu aktualisieren.
Der Einsatz von Virenscannern ist für alle anderen IT-Systeme (z.B. Server, Mess- und Steuerrechner) zu prüfen und soweit angemessen und technisch möglich vorzunehmen.
Wird auf einem System schädlicher Programmcode entdeckt, muss dies der zu-ständigen oder dem zuständigen ISK gemeldet und das Ergebnis der eingeleiteten Maßnahmen dokumentiert werden.
In regelmäßigen Abständen sowie bei konkretem Bedarf oder Verdacht ist eine Suche nach Schadprogrammen auf allen bedrohten IT-Systemen vorzunehmen; die Ergebnisse sind zu dokumentieren.
Von Herstellern bereitgestellte Softwareaktualisierungen zur Beseitigung von Sicherheitslücken sind zeitnah einzuspielen, soweit keine Probleme mit der Aktualisierung erkennbar sind.
Betriebssysteme und Anwendungen, die vom Hersteller nicht mehr mit Softwareaktualisierungen versorgt werden, dürfen grundsätzlich nicht mehr am Datennetz betrieben werden. Ist ein Weiterbetrieb solcher Systeme aus übergeordneten Gründen unumgänglich, sind diese Systeme zu dokumentieren, Betriebskonzepte für einen Weiterbetrieb zu entwickeln und zur Stellungnahme der oder dem ISB vorzulegen.
Anwendungen – insbesondere Netzanwendungen wie Mailprogramme und WWW-Browser – sind sicher zu konfigurieren.
Anwendungen sind mit den minimal benötigten Rechten im Betriebssystem auszuführen.
Verantwortlich für Initiierung: Fachverantwortliche
Verantwortlich für Umsetzung: IT-Personal
Bei entsprechend erhöhtem Schutzbedarf müssen alle äußeren Zugänge des PCs (zum Beispiel CD-Laufwerke, USB-Anschlüsse, Wechseldatenträger, kabellose Verbindungen) entfernt, gesperrt oder kontrolliert werden, wenn sie für die dienstlichen Aufgaben nicht erforderlich sind. Die Möglichkeit der Nutzung von Anwendungsservern und laufwerkslosen Arbeitsplatzrechnern oder Terminals ist zu prüfen.
Der Zugriff auf das Rechner-BIOS ist durch ein Passwort zu schützen.
Verantwortlich für Umsetzung: IT-Dienstleister, IT-Personal
Maßnahmen zur Ausfallsicherheit sind entsprechend der jeweiligen Anforderung zu ergreifen.
IT-Systeme, die zur Aufrechterhaltung eines geordneten Betriebs notwendig sind, müssen durch Ausweichlösungen (z.B. durch redundante Geräteauslegung oder Übernahme durch gleichartige Geräte) oder Wartungsverträge mit kurzen Reaktionszeiten hinreichend verfügbar gehalten werden.
Verantwortlich für Umsetzung: Gebäudemanagement, IT-Personal
Zur Reduzierung des Diebstahlrisikos sind Diebstahl-Sicherungen überall dort einzusetzen, wo nicht unwesentliche Werte zu schützen sind und andere Maßnahmen (z. B. geeignete Zutrittskontrolle zu den Arbeitsplätzen (s. A.6)) nicht umgesetzt werden können oder ein besonderes Diebstahlsrisiko (z. B. durch Publikumsverkehr oder die Fluktuation von Nutzern) existiert.
Datenträger mit wertvollen Forschungsdaten und personenbezogenen Daten sind in angemessener Weise zu schützen.
Jeder Person sollte nur ein Nutzungskonto zugeordnet sein. Die Zuordnung von mehreren Nutzungskonten zu einer Person innerhalb eines IT-Systems sollte erfolgen, wenn über die zusätzlichen Konten besondere Rollen abgebildet und besondere Rechte vergeben werden. Auch die zusätzlichen Konten sollten pro Person vergeben werden.
Die Einrichtung von Nutzungskonten, die von mehreren Personen gemeinsam genutzt werden sollen (gemeinsam genutzte Funktionskonten), ist nur zulässig, wenn solche Konten zur Aufgabenerfüllung unverzichtbar sind.
Die Einrichtung und Freigabe eines Nutzungskontos darf nur in einem geregelten Verfahren erfolgen. Die Einrichtung und Freigabe ist zu dokumentieren.
Vorinstallierte Standardkonten sind soweit nicht benötigt zu deaktivieren oder zu löschen.
Die Administratoren erhalten für ihre Aufgaben ein persönliches Administrator-konto. Das Nutzen dieses Administratorkontos muss auf die Aufgaben beschränkt bleiben, für die Administrationsrechte notwendig sind. Für die nicht-administrative Tätigkeiten sind Nutzungskonten ohne Administrationsrechte zu verwenden.
Vordefinierte Administratorkonten sind soweit technisch möglich umzubenennen, damit deren Bedeutung nicht sofort ersichtlich ist.
Verantwortlich für Initiierung: Zuständige Leitung
Verantwortlich für Umsetzung: Zuständige Leitung, Vorgesetzter der auscheidenden Person
Im organisatorischen Ablauf muss ein Prozess für die Verwaltung von Nutzungskonten und Nutzerrechten bei Eintritt, organisatorischem Wechsel und Ausscheiden von Personen zuverlässig festgelegt sein.
Beim organisatorischen Wechsel oder Ausscheiden von Personen hat die zuständige Leitung über die Verwendung der dienstlichen Daten zu entscheiden, die dem Nutzungskonto der Person zugeordnet sind.
Es sind sämtliche für die wechselnde oder ausscheidende Person eingerichteten Zugangsberechtigungen und Zugriffsrechte zu entziehen oder zu löschen.
Wurden in Ausnahmefällen Nutzungskonten zu einem IT-System zwischen mehreren Personen geteilt, so ist nach dem Wechsel oder Ausscheiden einer der Personen das Passwort zu ändern.
Verantwortlich für Umsetzung: IT-Personal, IT-Anwender
Neben den Bestimmungen der Ziffer A.12 ist zusätzlich von IT-Personal zu beachten:
Für privilegierte Konten sind erhöhte Anforderungen an die Authentifizierungsverfahren zu stellen. Bevorzugt sollte hier eine Mehrfaktor-Authentifizierung erzwungen werden. Sollte diese technisch nicht möglich sein, ist zumindest eine erhöhte Passwortstärke (Komplexität und/oder Länge des Passworts) vorzuschreiben und soweit technisch möglich zu erzwingen.
Voreingestellte Passwörter (z. B. des Herstellers bei Auslieferung von Systemen) müssen unverzüglich durch individuelle Passwörter ersetzt werden.
Sofern technisch umsetzbar, sind folgende Rahmenvorgaben einzuhalten:
Die technischen Möglichkeiten zur Erzwingung der Einhaltung von Passwortrichtlinien müssen aktiviert werden.
Jede Nutzerin und jeder Nutzer muss ihr bzw. sein eigenes Passwort jederzeit ändern können.
Für die Erstanmeldung neuer Nutzerinnen und Nutzer müssen Passwörter vergeben werden, die nach einmaligem Gebrauch gewechselt werden müssen.
Die Anzahl von fehlerhaften Anmeldeversuchen an ein System innerhalb eines Zeitraums muss begrenzt werden. Stehen keine anderen Algorithmen zur Begrenzung zur Verfügung, so kann die Begrenzung durch eine Sperrung erfolgen, die entweder nur vom Systemadministrator aufgehoben werden kann oder zeitlich befristet ist.
Es sollen Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen.
Bei der Authentisierung in vernetzten Systemen dürfen Passwörter grundsätzlich nur verschlüsselt übertragen werden. In Netzen, in denen Passwörter unverschlüsselt übertragen werden müssen, erfolgt ausschließlich die Verwendung von Einmalpasswörtern.
Bei der Eingabe darf das Passwort nicht auf dem Bildschirm angezeigt werden.
Die Passwörter müssen im System sicher gespeichert werden, z. B. mittels Einwegverschlüsselung.
Die Wiederholung alter Passwörter beim Passwortwechsel muss vom IT-System verhindert werden (Passwort-Historie).
Für Einsatzszenarien mit unterschiedlichen Sicherheitsanforderungen (z.B. Konten für täglicher Arbeiten im Gegensatz zur Konten für Administrationstätigkeiten) sollten unterschiedliche Passwörter oder Authentifizierungsverfahren eingesetzt werden.
Ist es nicht möglich, die Einhaltung der Passwortrichtlinien systemintern zu erzwingen, so sind geeignete organisatorische Maßnahmen zu ergreifen, um Nut-zerinnen und Nutzer auf die Passwortrichtlinien hinzuweisen und auf deren Einhaltung zu verpflichten.
Abweichungen von den in Sätzen (1) und (2) genannten Regeln sind nur für Sys-teme zulässig, für die eine besondere Passwort-Richtlinie dies ausdrücklich erlaubt.
Der Einsatz von Alternativen und Erweiterungen (Multi-Faktor-Verfahren) zur Authentifizierung mittels Passwörtern ist soweit technisch umsetzbar einzusetzen, wo über solche Verfahren ein erhöhter Schutzbedarf gewährleistet werden soll oder muss. Für Anwendungen mit normalem Schutzbedarf ist der Einsatz von Multi-Faktoren-Verfahren zu prüfen und nach Möglichkeit einzusetzen.
Verantwortlich für Initiierung: Zuständige Leitung, ISK
Verantwortlich für Umsetzung: IT-Personal
Über Zugriffsrechte wird festgelegt, welche Person im Rahmen ihrer Funktionen bevollmächtigt wird, IT-Systeme, IT-Anwendungen oder Daten zu nutzen. Der Nutzerinnen und Nutzer dürfen nur mit den Zugriffsrechten arbeiten, die für die Erfüllung ihrer Aufgaben vorgesehen sind.
Die Verfahren zur Vergabe von Zugriffsrechten sowie die Dokumentation der Vergabe und der Rechte sind technisch und organisatorisch festzulegen.
Es ist zu prüfen, inwieweit die Zugriffserlaubnis auf bestimmte Endgeräte begrenzt werden kann.
Es ist ebenfalls zu prüfen, inwieweit die Zugriffserlaubnis auf bestimmte Zeiten begrenzt werden kann oder muss (z. B. Beschränkung auf die üblichen Arbeitszeiten).
Für Nutzerinnen und Nutzer mit privilegierten Rechten, insbesondere für Administratorkonten, ist der Zugriff auf die benötigten Systeme (i.d.R. sind es der betreffende Server und Endgeräte oder Anwendungen) zu begrenzen.
Bei allen administrativen Anwendungen, die gesetzlichen Anforderungen genügen müssen (Datenschutz, Handelsgesetzbuch, u.a.), erfolgt die Vergabe und Änderung der Zugriffsrechte für die einzelnen Nutzerinnen und Nutzer auf deren schriftlichen Antrag. Dabei ist bei der Vergabe von Zugriffsrechten die Rollentrennung zu beachten; Administratoren dürfen sich nicht selbst verwalten.
Verantwortlich für Initiierung: Zuständige Leitung
Verantwortlich für Umsetzung: IT-Personal, IT-Anwender
Zusätzlich zu A.13 gilt:
Durch entsprechende technische Maßnahmen ist sicherzustellen, dass:
bei der Kommunikation zwischen externen Arbeitsplatz und Dienststelle die Vertraulichkeit und die Integrität der übertragenen Daten gewährleistet sind,
nur Berechtigte von zu Hause aus auf dienstliche Daten zugreifen können,
dienstliche Daten am externen Arbeitsplatz vertraulich behandelt werden und
das gesamte Verfahren der externen Arbeit revisionssicher ist.
Zur Einrichtung und zum Betrieb von Telearbeitsplätzen sind die bestehenden Dienstvereinbarungen zu beachten.
Werden bei der externen Arbeit personenbezogene Daten verarbeitet, muss die bzw. der zuständige Datenschutzbeauftragte am Genehmigungsprozess hinzugezogen werden.
Verantwortlich für Initiierung: ISK / Fachverantwortliche
Verantwortlich für Umsetzung: IT-Personal
Eine angemessene Protokollierung, Auditierung und Revision sind wesentliche Faktoren der Informationssicherheit. Eine Auswertung solcher Protokolle mit geeigneten Hilfsmitteln erlaubt beispielsweise einen Rückschluss darauf, ob die Bandbreite des Netzes den derzeitigen Anforderungen entspricht oder systematische Angriffe auf das Netz zu erkennen sind.
Je nach Einsatz eines IT-Verfahrens müssen adäquate Maßnahmen zur Protokollierung getroffen werden, um Datensicherheit, Datenschutz und Revisionsfähigkeit zu gewährleisten.
Die Auswertung von Protokolldateien ist in Abhängigkeit von den protokollierten Daten mit den Datenschutzbeauftragten, dem Personalrat und der Internen Revision abzustimmen.
Verantwortlich für Initiierung: ISK / Fachverantwortliche
Verantwortlich für Umsetzung: IT-Personal
Je nach den Möglichkeiten des Betriebssystems, der Dienste und der Anwendungen sind alle Zugangsversuche, sowohl die erfolgreichen als auch die erfolglosen, automatisch zu protokollieren.
Das Ändern der Parameter von Systemdiensten und Anwendungsprogrammen, das Herunter – und Hochfahren des IT-Systems oder von Systemdiensten sowie sicherheitsrelevante Ereignisse sind zu protokollieren.
Das Prinzip der Zweckbindung nach Art. 5 Abs. 1 lit. b) DSGVO und der Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c) DSGVO sowie die Speicherbegrenzung nach Art. 5 Abs. 1 lit. e) DSGVO sind zu beachten.
Die Protokolle sind, sofern technisch möglich, auf dafür dedizierten Servern zu speichern..
Die Protokolle sind regelmäßig und unverzüglich nach Erstellung auszuwerten. Es muss dabei sichergestellt sein, dass nur die Personen Zugriff auf die Protokolle erlangen, die diesen für die Erledigung der ihnen durch die zuständige Stelle zugewiesenen Aufgaben benötigen.
Die Administratoren sind durch organisatorische Regelungen (Dienstanweisungen o.ä.) je nach Schutzbedarf des Verfahrens oder der zu verarbeitenden Daten zu verpflichten, die im Rahmen ihrer Aufgaben durchgeführten Tätigkeiten zu protokollieren. Soweit möglich sollte die Protokollierung automatisch im System erfolgen.
Verantwortlich für Umsetzung: IT-Personal, IT-Dienstleister
Es muss in Betriebs- und Sicherheitskonzepten geregelt werden und sichergestellt sein, dass die Administration des Netzwerks nur von dem dafür vorgesehenen IT-Personal durchgeführt wird.
Aktive und passive Netzkomponenten sowie Server sind vor dem Zugriff Unbefugter zu schützen.
Die Netzdokumentation ist verschlossen zu halten und vor dem Zugriff Unbefugter zu schützen.
Verantwortlich für Initiierung: ISK, IT-Dienstleister
Verantwortlich für Umsetzung: IT-Personal, IT-Dienstleister
Es müssen geeignete Maßnahmen getroffen werden, um Überlastungen und Störungen im Netzwerk frühzeitig zu erkennen und zu lokalisieren.
Es muss in Betriebs- und Sicherheitskonzepten geregelt sein und überprüft werden, dass auf die für diesen Zweck eingesetzten Werkzeuge und Daten nur die dafür berechtigten Personen zugreifen können.
Der Kreis der berechtigten Personen ist auf das erforderliche Maß zu beschränken.
Verantwortlich für Umsetzung: IT-Personal, IT-Dienstleister
Das Datennetz ist so zu strukturieren, dass Teilnetze für verschiedene IT-Systeme entsprechend ihres jeweiligen Schutzbedarfs bereitgestellt werden.
IT-Systeme mit unterschiedlichem Schutzbedarf dürfen nicht in gleichen Teilnetzen betrieben werden. Dadurch wird verhindert, dass IT-Systeme mit höherem getestet werden.
Verantwortlich für Initiierung: Fachverantwortliche
Verantwortlich für Umsetzung: IT-Personal, IT-Anwender
Zusätzlich zu A.21 gilt:
Die Reparatur beschädigter Datenträger, auf denen schützenswerte Daten gespeichert sind, ist nur in besonders begründeten Ausnahmenfällen erlaubt.
Wenn Datenträger nur durch externe Dienstleister repariert werden können, ist der Auftragnehmer auf die Wahrung der Vertraulichkeit der Daten zu verpflichten. Die Verpflichtung muss Bestandteil der schriftlichen Vereinbarung sein.
Bei der Beschaffung eines Aktenvernichters ist die DIN 66399 zu beachten.
Bei einer Entsorgung über einen Dienstleister muss sichergestellt sein, dass der Auftragnehmer entsprechend zertifiziert ist. Der Auftragnehmer ist zur Protokollierung der Vernichtung zu verpflichten.
