|	Hardware Systemempfehlungen
|	realax Fibu neu zertifiziert
|	GiT Datenschutzbeauftragter
|	Verbessertes Support-Management
|	Neues Online Informationsmodul
|	Erfolgreiche Reprofilierung zum Microsoft Gold Partner

Beschreibung der technischen und organisatorischen Maßnahmen zu VI Datensicherungsmaßnahmen bei der GiT Gesellschaft für innovative DV-Technik mbH

Zutrittskontrolle
Zugangskontrolle
Zugriffskontrolle
Weitergabekontrolle
Eingabekontrolle
Verfügbarkeitskontrolle
Trennungskontrolle

 

1.    Zutrittskontrolle

Maßnahmen, damit Unbefugten der Zutritt zu den Datenverarbeitungsanlagen verwehrt wird, mit denen personenbezogene Daten verarbeitet werden:

Das Betriebsgelände des Unternehmens ist eingezäunt und kann entsprechend nur durch das Tor zum Gelände betreten werden. Der Zutritt in das Unternehmen erfolgt über ein zentrales Schließsystem. Dieses wird bei Verlust eines Schlüssels ausgetauscht. Innerhalb des Gebäudes sind einzelne Räume durch spezielle Schlösser vor unbefugten Zutritt geschützt. Für die Vergabe der verschiedenen Schlüsselarten sind die Zentrale und die Verwaltung zuständig. Die Vergabe der einzelnen Schlüssel orientiert sich an den verschiedenen Stellungen der Mitarbeiter.
Das Gebäude verfügt über drei Eingänge bzw. Ausgänge: den Haupteingang, den Personaleingang und den Fluchtweg (Feuertreppe). Lediglich der Haupteingang ist während der Geschäftszeiten geöffnet. Durch die sich im Eingangsbereich befindende Zentrale wird sichergestellt, dass sich firmenfremde Personen nur in Begleitung von Mitarbeitern in den Geschäftsräumen bewegen können.
Außerhalb der Geschäftszeiten ist das Unternehmen durch eine Alarmanlage gesichert. Die Alarmanlage hat eine direkte Schaltung zu einem Wachdienst-Unternehmen.

Der Serverraum des Unternehmens befindet sich in einem fensterlosen Kellerraum des Gebäudes. In diesem Raum ist auch die Telekommunikations-Anlage installiert. Zutritt zu dem Serverraum hat nur die Geschäftsleitung und die Systemadministratoren über entsprechend ausgehändigte Schlüssel der Schließanlage. Dieser Raum ist durch eine Sicherheitstür zusätzlich gegen unbefugten Zutritt gesichert. Die Reinigung des Serverraums erfolgt während der Geschäftszeiten durch einen der Systemadministratoren. Für die Wartung und die Reinigung der Klimaanlage in dem Serverraum ist eine spezialisierte Wartungsfirma beauftragt.
Ebenso wie bei dem Serverraum ist der Zutritt zu den Patchräumen und zu dem Archiv des Unternehmens durch einen separaten Bereich der Schließanlage abgegrenzt. Zutritt zu den Patchräumen hat die Geschäftsleitung und die Systemadministratoren. Für das Archiv sind die Buchhaltung und die Geschäftsleitung zutrittsberechtigt.

2.    Zugangskontrolle

Maßnahmen, die verhindern, dass Unbefugte die Datenverarbeitungsanlagen und
-verfahren benutzen:

Der Serverraum, die Patchräume und das Archiv sind im Zugang beschränkt.
Alle Rechner des Unternehmens sind durch Benutzerprofile mit Passwort vor unberechtigtem Zugriff geschützt. Die Benutzerprofile unterliegen verschiedenen Benutzergruppen.

3.    Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können:

Es liegt ein anwenderbezogenes Berechtigungskonzept vor. Die Berechtigungen können auf Dateien, auf Datensätze, auf Anwendungsprogramme und das Betriebssystem differenziert werden und die Lese-, Änderungs- und Löschrechte einschränken. Es wird sichergestellt, dass jeder Benutzer nur auf die Daten zugreifen kann, zu denen er zugriffsberechtigt ist. Das Berechtigungskonzept, das sich an den Stellungen der Mitarbeiter orientiert, ist schriftlich festgehalten. Verschiedene Zugriffsrechte werden durch vorgefertigte Benutzerprofile zusammengefasst. Weiterhin ist das Berechtigungskonzept programmtechnisch in der Anwendung, im Relax und im Active Directory hinterlegt. Die Zugriffe der Benutzer werden protokolliert.
Alle Rechner des Unternehmens melden sich nach einer bestimmten Zeit der Inaktivität automatisch ab.

4.    Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

Die personenbezogenen Daten des Unternehmens werden im Zuge der Lohnbuchhaltung an die Krankenkassen und zur Finanzbuchhaltung an das Finanzamt übermittelt. Zur Weitergabe personenbezogener Daten sind nur die Mitarbeiter der Personalabteilung berechtigt.
Die Übertragung via VPN ist durch IP/ Sec gesichert. Weiterhin findet eine Übertragung personenbezogener Daten auf elektronischem Wege (per Email) statt.

5.    Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind.

Zur Gewährleistung der Eingabekontrolle sind die vom Softwarehersteller mitgebrachen Log Mechanismen und Transaktionsprotokolle, zur Protokollierung aller Eingaben für alle Anwendungen, vorhanden.

6.    Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

Die Daten auf dem Server werden zentral gesichert und die Datensicherung wird stetig dokumentiert. Das realisierte Datensicherungskonzept definiert die Anzahl der Sicherungskopien, dem Umfang der zu sichernden Daten, die Zeitintervalle und die Zeitpunkte der Sicherung. Darüber hinaus wird durch das Konzept die Anzahl der aufbewahrten Generationen und die/der Art/Ort zur Aufbewahrung festgelegt.  Die Datensicherungsbänder werden in den Büroräumlichkeiten der für die Datensicherung verantwortlichen Person aufbewahrt. Die Geschäftsleitung, die verantwortliche Person und die Systemadministratoren verfügen über entsprechende Zugriffsrechte. Zur Datensicherung der Daten auf den Laptops, tragen die Benutzer der entsprechenden Geräte die Verantwortung zum Ablegen der Daten auf dem Server. Das Unternehmen setzt eine unterbrechungsfreie Stromversorgung ein, in der Blitz- und Überspannungseinrichtungen integriert sind.
Andere Speichermedien des Unternehmens (CD-R, CD-RW, DVD, Streamer) werden in abschließbaren Schränken, in Datensafes der Güteklasse S60DIS bzw. S120DIS oder durch Auslagerung aufbewahrt.
Es werden regelmäßig aktualisierte Virenscanner und eine regelmäßig kritisch überprüfte Firewall eingesetzt.

7.    Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Es wird eine physikalische Trennung von verschiedenen speichernden Stellen realisiert. Weiterhin wird eine Trennung organisatorisch durchgeführt.