Sicherheitsmaßnahmen (TOM)

Dieser Artikel ist auch verfügbar in: English

Falls Sie eine unterzeichnete Ausführung der AVV (inklusive TOM) benötigen, kontaktieren Sie uns.

Stand: 14. December 2022

Präambel

Wir – die Conceptboard Cloud Service GmbH, Mansfelder Str. 56, 06108 Halle (Saale), Deutschland – treffen bei der Erbringung der Dienste gemäß Hauptvertrag zusammen mit dem Kunden – nachstehend „Auftraggeber“ – unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen die folgenden technischen und organisatorischen Maßnahmen (TOM), um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Die Auswahl der Maßnahmen gliedert sich in die Bereiche:

  • Pseudonymisierung
  • Verschlüsselung
  • Vertraulichkeit und Integrität
  • Verfügbarkeit und Belastbarkeit
  • Wirksamkeitsprüfung

Pseudonymisierung

Maßnahmen zur Pseudonymisierung haben den Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.

  1. Die Ablage und Zusammenführung personenbezogener Daten erfolgen anhand einer pseudonymisierten Nutzeridentifikationsnummer (User-ID).

Verschlüsselung

Maßnahmen zur Verschlüsselung haben den Zweck, die Nutzung und den Missbrauch der Daten durch unberechtigte Dritte – mangels Schlüssel – zu verhindern.

  1. Die Kommunikation zwischen Servern und verbundenen Clients wird durchgehend unter Verwendung aktueller Technologien und akzeptierter Industriestandards verschlüsselt. Abhängig vom Client des Nutzers werden TLS1.2, 256-bit AES in GCM mit elliptischer Kurven-Kryptographie und Forward-Secrecy verwendet. Weitere Informationen zur Übertragungssicherheit finden Sie im Qualys SSL Report für Conceptboard.
  2. Gespeicherte Daten des Kunden werden mit symmetrischen AES256-Schlüsseln verschlüsselt.
  3. Nutzer-Passwörter werden nicht gespeichert. Stattdessen wird ein sicheres, auf kryptographischen Hashfunktionen basiertes Verfahren verwendet (“Salted Cryptographic Hash”).

Vertraulichkeit und Integrität

Maßnahmen zur Vertraulichkeit und Integrität dienen dem Schutz personenbezogener Daten vor unbefugter Preisgabe, sowie der Sicherstellung, dass die Systeme korrekt funktionieren, und die Daten unversehrt, das heißt vollständig und durch äußere Einflüsse unverändert, bleiben.

  1. Die genutzten Rechenzentren – sofern nicht anders vereinbart oder anderweitig dokumentiert die Rechenzentren der IONOS und der Amazon Web Services (AWS) in der Region Frankfurt, Deutschland – verfügen über umfangreiche und moderne Zutrittskontrollen (bspw. elektronische Zutrittskontrollsysteme, Kameraüberwachung, Einbruchmeldeanlagen, Wachpersonal) und implementieren Prozesse, die nachhaltig vor unbefugtem Zutritt schützen (bspw. festgelegte Sicherheitsbereiche, individuelle Zutrittsberechtigungsvergabe, rollenbasiertes Berechtigungskonzept). Weitere Informationen über die getroffenen Schutzmaßnahmen finden Sie in den jeweiligen Portalen von IONOS und AWS zum Thema Cloud-Sicherheit.
  2. Die genutzten Büroräume verfügen über elektronische Zutrittskontrollsysteme und Kameraüberwachung der Eingangsbereiche. Es sind Prozesse zur individuellen Zutrittsberechtigungsvergabe, der Dokumentationen von Zutrittsberechtigungen, sowie Besucher-Regulierungen implementiert. Die Büroräume sind außerhalb der Arbeitszeiten verschlossen.
  3. Die öffentlich bereitgestellten Server-Systeme, die dedizierten Enterprise-Systeme je Mandant und die Entwicklungssysteme, sowie deren jeweiligen Datenspeicher- und Backup-Speicherorte, sind durch separate Netzwerke und Netzwerk-Segmente vollständig voneinander getrennt. Netzwerke und Netzwerk-Segmente sind durch restriktive Firewall-Regeln geschützt. Systemkomponenten sind entsprechend allgemein etablierter und akzeptierter Industriestandards verstärkt (bspw. Sperrung von nicht erforderlichen Ports, regelmäßige Software-Updates).
  4. Administrativer Zugang erfolgt nur über sichere Verbindungen (VPN mit Ende-zu-Ende-Verschlüsselung, separate Management-Netzwerke, Jump-Hosts, 2FA) und wird in Log-Files protokolliert. Zugänge zur Administration und zur Wartung sind eindeutig natürlichen Personen zugeordnet.
  5. Die Vergabe von Zugriffsrechten erfolgt unter Einhaltung spezifischer Genehmigungsregelungen und wird dokumentiert. Das Prinzip der geringsten Rechtevergabe (“Need-to-Know-Prinzip”), nachdem Nutzer nur diejenigen Zugänge erhalten, die für die Erfüllung ihrer Aufgaben nötig sind, wird eingesetzt. Zugriffsrechte für IT-Systeme werden regelmäßig überprüft und entzogen, sobald die geschäftliche Notwendigkeit für den Zugriff nicht mehr besteht. Kritische administrative Rechtekombinationen werden überwacht (“Separation-of-Duty-Prinzip”).
  6. Alle Mitarbeiter sind im Umgang mit vertraulichen Daten unterrichtet und schriftlich auf die Wahrung der Vertraulichkeit verpflichtet. Verbindliche Regeln für die Einsichtnahme in und die Offenlegung von sensiblen Daten, sowie schriftliche Richtlinien für die Übertragung und Weitergabe von Daten bestehen. Die Verarbeitung personenbezogener Daten erfolgt ausschließlich entsprechend den Weisungen des Auftraggebers.
  7. Arbeitsgeräte sind mit Sicherheitssoftware wie bspw. Firewalls, Antivirus-Software und Malware-Erkennung ausgestattet. Schriftliche Regelungen zum Umgang mit mobilen Geräten und Datenträgern, zur sicheren Datenlöschung, zur Vernichtung von Datenträgern, sowie zur Remote-Arbeit (Home-Office) bestehen. Unbeaufsichtigte IT-System werden automatisch gesperrt.
  8. Passwörter erfordern eine definierte Mindestkomplexität. Initiale Passwörter müssen nach der ersten Anmeldung geändert werden.

Verfügbarkeit und Belastbarkeit

Die Maßnahmen zur Verfügbarkeit und Belastbarkeit haben den Zweck, die Dienste und internen Betriebsabläufe, sowie deren Informationssicherheit, auch bei Betriebsstörungen und unvorhergesehenen Ereignissen zu gewährleisten.

  1. Die genutzten Rechenzentren – sofern nicht anders vereinbart oder anderweitig dokumentiert die Rechenzentren der IONOS und der Amazon Web Services (AWS) in der Region Frankfurt, Deutschland – verfügen über umfangreiche und moderne Brandmelde- und Löscheinrichtungen, Klima- und Temperaturregelungen sowie Maßnahmen zum Überspannungsschutz und zur unterbrechungsfreien Stromversorgung (USV). Weitere Informationen finden Sie in den jeweiligen Portalen von IONOS und AWS zum Thema Cloud-Sicherheit.
  2. Die Inbetriebnahme der bereitgestellten Produktiv-Systeme, deren Konfiguration und das Einspielen von Änderungen erfolgen nachvollziehbar und transparent über eine automatisierte Deployment-Infrastruktur (“Infrastructure-as-Code-Prinzip”).
  3. Backups der Produktiv-Daten erfolgen stündlich in inkrementeller Form und täglich als Voll-Backup. Alle Backups werden redundant und in verschlüsselter Form (AES256) über mehrere Geräte und mehrere getrennte Einrichtungen – sofern nicht anders vereinbart oder anderweitig dokumentiert, mindestens 2 Einrichtungen bei IONOS und mindestens 3 Einrichtungen innerhalb der Rechenzentren der Amazon Web Services (AWS) in der Region Frankfurt, Deutschland – verteilt vorgehalten. Technische Zugriffsbeschränkungen, automatische Historisierungs- und Lösch-Policies, sowie strikte organisatorische Vorgaben zum Umgang mit Backups sind implementiert.
  4. Disaster-Recovery-Prozesse für die Datenwiederherstellung und Prozesse zur stichprobenartigen Prüfung der Wiederherstellungsfähigkeit sind definiert.
  5. Capacity-Management-Maßnahmen zur Überwachung des Resourcen-Verbrauchs der Systeme sowie der Planung des zukünftigen Ressourcen-Bedarfs sind implementiert.
  6. Verfahren zum Umgang und der Meldung von Störungen (Incident-Management) inklusive der Erkennung und Reaktion auf mögliche Sicherheitsvorfälle sind definiert.

Wirksamkeitsprüfung

Die Maßnahmen zur Wirksamkeitsprüfung dienen der regelmäßigen Kontrolle und Bewertung der Effektivität aller zuvor beschriebenen technischen und organisatorischen Maßnahmen.

  1. Datenschutzkoordinatoren sind definiert und beauftragt, Änderungen in den internen Arbeitsprozessen aus Datenschutzsicht zu begleiten, auf Datenschutzaspekte hinzuweisen, und mit dem Datenschutzbeauftragten abzustimmen. Regelmäßige Besprechungen des Datenschutzbeauftragten mit den Datenschutzkoordinatoren inklusive der Überprüfung der Betriebsprozesse, welche die Verarbeitung von personenbezogenen Daten betreffen, und der Revision der zugehörigen technischen und organisatorischen Maßnahmen finden statt.
  2. Conceptboard schult seine Mitarbeiter im Hinblick auf Informationssicherheit, um sicherzustellen, dass sie ihrer Verpflichtung nachgehen, Kundendaten nicht unbefugt zu erheben, zu verarbeiten oder zu nutzen. Somit soll die Vertraulichkeit von Kundendaten gewahrt werden, auch nach Beendigung jeglicher Funktionen, die mit Kundendaten zu tun hatten. Mitarbeiter sind angewiesen, erkannte Verletzungen der Datenschutzbestimmungen, Verdacht auf mögliche Verletzungen, sowie sonstige Vorfälle mit Bezug zur Informationssicherheit umgehend den Datenschutzkoordinatoren zu melden. Disziplinarmaßnahmen bei Zuwiderhandlung gegen Geheimhaltungsverpflichtungen bestehen.
  3. Conceptboard führt eine Überprüfung des Beschäftigungsverhältnisses durch. Eingeschlossen ist hierbei die Überprüfung der Identität bei Neueinstellungen in Positionen, die den Zugang zu Systemen und Anwendungen, die Kundendaten speichern, erfordern. Bei Beendigung des Arbeitsverhältnisses sei es freiwillig oder unfreiwillig, sperrt Conceptboard unverzüglich den Zugang zu allen Systemen.
  4. Conceptboard bewertet ständig die Risiken im Zusammenhang mit der Verarbeitung personenbezogener Daten und erstellt einen Aktionsplan zur Minderung der festgestellten Risiken.
  5. Ständige Sicherheits-Audits des Dienstes werden im Rahmen eines Bug Bounty Programms von unabhängigen IT-Sicherheitsexperten durchgeführt. Diese Tests umfassen automatisierte und manuelle Penetrationstests. Auf Anfrage des Kunden stellt Conceptboard diesen eine Zusammenfassung des letzten Berichts zur Verfügung, vorbehaltlich eines angemessenen Vertraulichkeitsschutzes.
  6. Dritte führen jährlich Audits durch und bescheinigen die Einhaltung der ISO 27001 ISO/IEC:2017-Standards.
  7. Conceptboard unterhält Maßnahmen, um Schwachstellen in der Infrastruktur von Conceptboard zu identifizieren, zu verwal-ten, abzumildern und/oder zu beheben. Zu den Sicherheitsmaßnahmen gehören: Anti-Virus / Anti-Malware, Schwachstellen-Scanning, Warnungen bei Bedrohungen, Patch-Management.