XI. Berechtigungskonzept:
RMSi Radio Marketing Service interactive GmbH ist ein Unternehmen im Bereich Audio Advertising und arbeitet mit personenbezogenen Daten im Auftrage ihrer Kunden. Diese Daten sind in verschiedenen Systemen der RMSi gespeichert.
Zum Schutze dieser Daten wurden entsprechende technische und organisatorische Maßnahmen getroffen. In diesem Dokument wird das Berechtigungskonzept für verschiedene Systeme beschrieben.
Grundsätze in allen Berechtigungskonzepten
Folgende Grundsätze werden in sämtlichen Systemen, mit zu schützenden Daten oder den Zugang zu solchen indirekt ermöglichen, angewendet.
Individuelle Zugänge und passwortgeschützter Zugang
Sämtliche Systeme, die entsprechend zu schützende Daten speichern, werden vor unbefugtem Zugriff geschützt. Das erfolgt in aller Regel durch die Verwendung von Passwörtern, kann jedoch auch durch Zertifikate erfolgen.
Mindestanforderungen an die Passwortkomplexität
Bei der Vergabe und Erstellung von Passwörtern wird sichergestellt, dass diese entsprechende Mindestanforderungen an die Komplexität erfüllen. Das kann im Idealfall durch die jeweiligen Systeme per Konfiguration hergestellt werden, erfolgt jedoch mindestens durch entsprechende Vorgaben an die betroffen Personen.
Folgende Komplexitätsanforderungen sind hierbei zu erfüllen:
Keine Verwendung von bekannten Worten (Haus, Hund, Peter)
Verwendung von Sonderzeichen, Zahlen und Buchstaben in großer und kleiner Schreibweise
Einhaltung der Mindestlänge von 8 Zeichen
Regelmäßige Änderung der Passworte
Passworte müssen regelmäßig, das heißt in einem Turnus von etwa 3 Monaten geändert werden. Das kann idealerweise systemseitig sichergestellt und erzwungen werden, erfolgt jedoch mindestens durch eine entsprechende Vorgabe an die betroffenen Personen.
Geheimhaltung von Passwörtern
Mitarbeiter werden auf die Geheimhaltung von Passwörtern verpflichtet. Um zu verhindern, dass Passworte aufgeschrieben werden und damit ggf. zugänglich werden, wird entsprechende Software eingesetzt, die Passworte verschlüsselte speichert.
Keine Verwendung von Zugängen für mehr als eine Person.
Die Verwendung von Zugängen durch mehrere Personen ist untersagt, da diese entsprechende Anforderung die Protokollierung des Zugriffs nicht erfüllt.
Verwaltung der Berechtigungen auf Gruppenebene.
Die Verwaltung von Berechtigungen erfolgt immer auf Gruppenebene. Nutzer erhalten die notwendigen Zugriffsrechte durch die Zuweisung zu der entsprechenden Gruppe. Die Änderungen der Zugriffsstruktur für alle betroffenen Mitarbeiter und Rollen kann hierdurch sichergestellt werden.
Vergabe von Zugriffsrechten nach dem Minimal-Prinzip
Die Vergabe von Zugriffsrechten erfolgt immer nach dem Minimalprinzip. Das heißt, dass keine Zugriffsrechte auf Halde vergeben werden dürfen.
Auditierung von Zugriffen
Soweit technisch möglich, werden sämtliche Aktivitäten eines Zugangs protokolliert und erfasst. Missbrauch und andere Sicherheitsrelevante Vorfälle können so entdeckt und in ihrem Ausmaß nachvollzogen werden.
Revisionsfähigkeit von Zugriffsrechten
Über eine entsprechend meist automatische Dokumentation der erteilten Zugriffsrechte kann jederzeit die aktuelle Zugriffsstruktur bis auf Nutzerebene nachvollzogenen werden. Das ist die Grundvoraussetzung für eine regelmäßige Kontrolle und Revision der Einhaltung der Standards. Die Revision soll einerseits durch die Systemverantwortlichen regelmäßig und andererseits durch den technischen Leiter stichprobenartig durchgeführt werden. Unerwünschte Zugriffsberechtigungen werden umgehend geändert und dem technischen Leiter mitgeteilt.
Folgende Rollen haben im Unternehmen Zugriff auf personenbezogene Daten oder Zugriff auf Systeme, die den Zugriff steuern.
|
Rolle |
Beschreibung |
|
Operator |
Operatoren sind Mitarbeiter in der Sachbearbeitung von Geschäftsvorfällen im Bereich Mahnung und Inkasso. Diese Mitarbeiter haben damit vollständigen Zugriff auf die persönlichen Daten der betroffenen Personen. |
|
Software-Entwickler |
Software-Entwickler entwickeln und betreiben im Unternehmen die notwendigen Systeme und Software-Komponenten. Sie übernehmen daher typische IT-Administrative Tätigkeiten und haben Voll-Zugriff auf |
|
|
Systeme, die personenbezogene Daten speichern. |
|
System-Administrator |
Die Systemadministratoren-Rolle übernimmt die Verwaltung, Einrichtung und Konfiguration von Netzwerk-Komponenten oder in genutzter Dritt-Software. |
|
Kunden |
Kunden haben jeweils Zugriff auf die eigenen Daten. Das wird durch eine entsprechende Mandantenfähigkeit im System sichergestellt. |
Für jedes System im Unternehmen, wurden 2 Systemverantwortliche definiert, die für die Verwaltung der Zugriffsrechte und Anwendung der Sicherheitsstandards verantwortlich sind. Die Kontrollfunktion übernimmt der technische Leiter.
Hierbei hat der Systemverantwortliche folgende Verantwortlichkeiten:
Meldung von Verstößen
Meldung von Fehlkonfigurationen
Vergabe und Entziehung der Zugriffsrechte auf Anfrage von Vorgesetzten
Dokumentation der Zugriffsrechte
Regelmäßige Revision der Zugriffsstruktur
Einhaltung der Sicherheitsstandards (Passwortstärke)
Einleitung der turnusmäßigen Änderungen von Passwörtern
Die Systemverantwortung wird explizit durch den technischen Leiter vergeben und entzogen. Die entsprechende Systemverantwortung ist dokumentiert. Systemverantwortung auf die jeweiligen Anforderungen und Pflichten hin regelmäßig zu schulen.
XXXXXXXXXXXXXXXXX hat unterschiedliche Geschäftsprozesse aufgesetzt, die die Qualität im Bereich der Zugriffsverwaltung und damit der Sicherheit sicherstellen sollen.
Folgende Prozesse wurden dazu aufgesetzt:
Vergabe und Änderungen von Zugriffsrechten
Die Vergabe von Rechten und die Neuanlage von Benutzern erfolgt durch die jeweiligen Systemverantwortlichen. Hierzu bedarf es einer dokumentierten Freigabe (Email) durch den Vorgesetzten des Mitarbeiters. Diese sind durch den Systemverantwortlichen einzuholen. Der Systemverantwortliche stellt die Einhaltung der entsprechenden Standards ein. Im Rahmen der ist die Zugriffserteilung nachvollziehbar zu begründen.
Veränderungen von Mitarbeiter-Rollen
Wechselt ein Mitarbeiter die Rolle oder Abteilung im Unternehmen, hat der neue Vorgesetzte des Mitarbeiters die Anpassung der Zugriffsrechte zu veranlassen.
Mitarbeiter verlässt das Unternehmen
Verlässt ein Mitarbeiter das Unternehmen, muss der entsprechende Vorgesetzte die Sperrung aller Zugänge veranlassen und überprüfen. Hardware wird umgehend eingesammelt.
Turnusmäßige Passwort-Änderungen
Der Systemverantwortliche stellt über einen Kalender die regelmäßigen Änderungen von Passwörtern sicher, soweit dies nicht über die Funktionalitäten in den jeweiligen Systemen sichergestellt werden kann
Meldung von Verletzungen der Sicherheitsbestimmungen
Alle Mitarbeiter sind verpflichtet Verletzungen der Sicherheitsbestimmungen oder falsche Zugriffsrechte umgehend dem Systemverantwortlichen oder technischen Leiter zu melden.
Systeme im Überblick
Folgende Systeme werden von der XXXXXXXXXXXXXXXXX eingesetzt, die personenbezogene Daten speichern und/oder den Zugriff auf diese ermöglichen. In der nachfolgenden Tabelle ist der jeweilige Zweck und die Rollen beschrieben, die Zugriff auf die Systeme und Daten haben.
|
System |
Beschreibung |
Nutzergruppen (Rolle) |
|
XY Webapplikation |
Die Webapplikation ist die Kernapplikation für Kunden und Operatoren im Unternehmen für die Abwicklung der Geschäftsvorfälle. |
Operatoren Kunden |
|
Datenbank |
Innerhalb des Datenbank-Systems sind sämtliche Daten der Kunden gespeichert. |
Software-Entwickler |
|
SFTP-Server |
Der SFTP-Server wird zur Übertragung der Kundendaten genutzt. |
Operatoren System-Administratoren Kunden (eigene Daten) |
|
Amazon Webservice |
Heruko ist die Basis Infrastruktur Plattform auf die eigens entwickelte Webapplikation betrieben wird. |
Software-Entwickler |
|
Netzwerk Infrastruktur |
Der Zugang ins Internet und der Zugang durch durch Mitarbeiter auf die oben beschriebenen System erfolgt durch die Netzwerk Infrastruktur. Diese besteht aus WLAN Accesspoints, Switche und Firewalls. |
System-Administratoren |
In der folgende Aufstellung werden die Zugriffsmöglichkeiten durch verschiedene Rollen auf verschiedene Daten dargestellt.
|
System |
Operatoren |
Software- Entwickler |
System- administrator |
Kunden |
|
XY Webapplikati on |
Persönliche Daten aller Kunden. |
Persönliche Daten aller Kunden. |
|
Nur die Daten der eigenen Kunden. |
|
Datenbank |
|
Persönliche Daten aller Kunden. |
|
|
|
SFTP-Server |
Persönliche Daten aller Kunden. |
|
Persönliche Daten aller Kunden. |
Nur die Daten der eigenen Kunden. |
|
Amazon Webservice |
|
Persönliche Daten aller Kunden. |
|
|
|
Netzwerk Infrastruktur |
|
|
Indirekt Zugriff auf alle Daten |
|