· 

Konkrete Anwendung von TOM - Teil 1

In den folgenden Tagen werden wir hier eine Reihe von konkreten Maßnahmen für die Anwendung von technischen und organisatorischen Maßnahmen (TOM) vorstellen.

 

Für jedes Kapitel sind grundlegende Maßnahmen angegeben, es gibt Beispiele wie man es nicht machen sollte bzw. was zu vermeiden ist und gegebenenfalls weiterführende Maßnahmen.

 

Bei den Texten handelt es sich um die Übersetzung einer Veröffentlichung der französischen Aufsichtsbehörde CNIL. Die Übersetzung erhebt keinen Anspruch auf Vollständigkeit und Richtigkeit.

 

Die Kapitel des 1. Teils:

 

1. Bewusstsein für den Datenschutz - Sensibilisierung der Benutzer

2. Authentifizierung - Verwaltung der Zugriffsrechte über Benutzerkennungen

 

 

1. Bewusstsein für den Datenschutz - Sensibilisierung der Benutzer

Grundlegende Maßnahmen

 

Sensibilisierung der Benutzer, die mit personenbezogenen Daten arbeiten, durch Aufklärung über die Risiken des Datenschutzes, Aufklärung über den Umgang mit personenbezogenen Daten und der von ihrer Organisation durchgeführten Maßnahmen zur Bewältigung der Risiken und ihrer möglichen Konsequenzen. Organisieren Sie Sensibilisierungssitzungen, senden Sie regelmäßig Updates zu den relevanten Verfahren für die Rollen/Aufgaben der Personen, senden Sie ihnen Erinnerungen per E-Mail, etc.

 

 

Dokumentation der Betriebsabläufe, stetige Aktualisierung und allen Benutzern zur Verfügung stellen. Konkret bedeutet dies, dass alle Maßnahmen im Zusammenhang mit personenbezogenen Daten, unabhängig davon, ob es sich um administrative Vorgänge oder die einfache Nutzung einer Anwendung handelt, in einer klaren, an die jeweilige Benutzerkategorie angepassten Sprache in Dokumenten erklärt werden müssen. Die Benutzer müssen sich auf diese Dokumente beziehen können.

 

Erstellen einer IT-Richtlinie und deren Anwendung/Einhaltung durchsetzen. Diese Richtlinie sollte zumindest die folgenden Elemente enthalten:

 

1. Erinnerung an die Regeln des Datenschutzes und an Sanktionen bei Nichteinhaltung dieser Regeln

 

2. Der Anwendungsbereich der Richtlinie, der insbesondere Folgendes umfassen sollte:

    • Interventionsmethoden der Teams, die für die Verwaltung der IT-Ressourcen der Organisation verantwortlich sind;
    • Authentifizierungsmittel, die von der Organisation verwendet werden;
    • Sicherheitsvorschriften, die die Benutzer einhalten müssen, einschließlich:
      • Benachrichtigung der internen IT-Abteilung über vermutete Datenschutzverletzungen oder den Versuch, Benutzerkonten zu korrumpieren und generell jede Fehlfunktion;
      • niemals den Benutzernamen/Passwort einem Dritten anvertrauen;
      • niemals Software ohne Genehmigung installieren, kopieren, bearbeiten oder zerstören;
      • den Computern sperren, sobald die Benutzer ihren Arbeitsplatz verlassen;
      • niemals auf Informationen zugreifen, versuchen auf sie zuzugreifen oder sie zu löschen, wenn sie sich nicht auf die vom Benutzer ausgeführten Aufgaben beziehen;
      • Einhaltung der zuvor vom Unternehmen festgelegten Verfahren zur Überwachung der Datenübertragung auf Datenträgern, insbesondere durch Einholung einer vorherigen Genehmigung von einer zuständigen Ansprechperson und Einhaltung der Sicherheitsvorschriften

3. Die Verfahren für die Nutzung von IT-Geräten und Kommunikationsmitteln, die dem Benutzer zur Verfügung stehen, wie z. B.:

 

    • Computerarbeitsplätze;
    • individuelle Speicherplätze;
    • lokale Netzwerke;
    • persönliche Geräte (insbesondere die Bedingungen für die Verwendung solcher Geräte);
    • das Internet;
    • elektronische Nachrichtenübermittlung;
    • Telefonie.

4. Die Bedingungen für die Administration des IT-Systems und, falls erforderlich, die Existenz

    • von automatischen Filtersystemen;
    • von automatischen Protokollierungssystemen;
    • einer Arbeitsplatzverwaltung.

5. Verantwortlichkeiten und Sanktionen bei Nichteinhaltung der Richtlinie.

 

 

 

Weitere Maßnahmen

  • Implementierung einer Richtlinie zur Klassifizierung von Informationen, die mehrere Klassifizierungsebenen definiert und die die Kennzeichnung von Dokumenten und E-Mails, die vertrauliche Daten enthalten, vorschreibt.
  • Anbringen eines sichtbaren und eindeutigen Hinweises auf jeder Seite von Papier- oder elektronischen Dokumenten, die sensible Daten enthalten.
  • Organisation von Schulungen und Sensibilisierungsveranstaltungen zum Thema Datenschutz. Regelmäßiger Versand von Erinnerungen per E-Mail.
  • Die Unterzeichnung einer Vertraulichkeitsvereinbarung oder die Aufnahme einer besonderen Vertraulichkeitsklausel für personenbezogene Daten in die Arbeitsverträge.

 

2. Authentifizierung - Verwaltung der Zugriffsrechte über Benutzerkennungen

Um sicherzustellen, dass ein Benutzer nur auf die Daten zugreift, die er benötigt, muss er über eine eindeutige Kennung verfügen und sich vor jedem Zugriff auf personenbezogene Daten authentifizieren.

 

Die Authentifizierungsfaktoren sind in drei Gruppen eingeteilt:

  • Dinge, die der Benutzer weiß, zum Beispiel ein Passwort,
  • Dinge, die der Benutzer hat, z.B. eine Smartcard
  • Dinge, die der Benutzer tut, zum Beispiel einen digitalen Fingerabdruck oder eine eigenhändige Unterschrift.

 

Die Authentifizierung eines Benutzers wird als stark eingestuft, wenn sie aus einer Kombination von mindestens zwei dieser Faktoren besteht.

 

 

Grundlegende Vorsichtsmaßnahmen

  • Definition einer eindeutigen Kennung pro Benutzer und verbieten Sie gemeinsame Konten für mehrere Benutzer. Für den Fall, dass die Verwendung von generischen oder gemeinsamen Identifikatoren unvermeidlich ist, ist eine ausdrückliche Bestätigung durch das Management erforderlich und es sind Maßnahmen zur Protokollierung ihrer Aktivitäten zu ergreifen.
  • Beachtung der Empfehlungen für sichere Passwörter, wenn diese zur Authentifizierung verwendet werden, insbesondere indem die Passwörter sicher gespeichert und die folgenden Komplexitätsanforderungen auf sie angewendet werden:
    • Mindestlänge von 8 Zeichen, einschließlich 3 von 4 Zeichentypen (Großbuchstaben, Kleinbuchstaben, Zahlen, Sonderzeichen), wenn die Authentifizierung eine Zugangsbeschränkung für das Konto enthält, z. B.:
    • temporäre Sperrung des Kontos nach mehreren fehlgeschlagenen Versuchen,
    • ein "Captcha",
    • das Sperren des Accounts nach 10 fehlgeschlagenen Versuchen;
    • Mindestlänge von 12 Zeichen, einschließlich 4 Zeichentypen, wenn die Authentifizierung nur auf dem Passwort beruht,
    • Mindestlänge von mehr als 5 Zeichen, wenn die Authentifizierung zusätzliche vertrauliche Informationen erfordert. Verwenden Sie für die zusätzlichen Informationen eine mindestens 7 Zeichen lange vertrauliche Kennung und sperren Sie das Konto bspw. beim fünften erfolglosen Anmeldeversuch;
    • Das Passwort darf nur 4 Zeichen lang sein, wenn sich die Authentifizierung auf ein Gerät stützt, das sich im Besitz der Person befindet, und wenn das Passwort nur verwendet wird, um das physische Gerät zu entsperren, das sich im Besitz der Person befindet (z.B. eine Chipkarte oder ein Mobiltelefon), und wenn das Gerät beim dritten erfolglosen Versuch gesperrt wird.

 

Mit Hilfe mnemonischer Methoden können komplexe Passwörter erstellt werden, z.B. durch:

  • indem nur die Anfangsbuchstaben der Wörter in einem Satz verwendet werden;
  • Großbuchstaben, wenn das Wort ein Substantiv ist (z.B.: C für Chief);
  • beibehalten von Satzzeichen (z.B.: ,);
  • Zahlen für Wörter von 0 bis 9 schreiben (z.B.: 1 statt dem Wort "ein" oder "eine");
  • mit Hilfe der Lautschrift (z.B.: englisch "eit" oder "ate" statt 8).

Beispielsweise entspricht der Satz: "Ein vorgewarnter Chief Technical Officer ist zwei wert" dem Passwort 1vCTOi2w.  

 

Wenn er sich zum ersten Mal anmeldet, muss der Benutzer jedes Kennwort ändern, das von einem Administrator oder automatisch vom System beim Erstellen des Kontos oder beim Zurücksetzen des Kennworts vergeben wurde.

 

 

Was vermieden werden sollte

  • Weitergabe des Passworts an andere.
  • Speichern von Passwörtern in einer unverschlüsselten Datei, auf Papier oder an einem Ort, der für andere Personen leicht zugänglich ist.
  • Speichern von Passwörtern im Browser ohne Verwendung eines Master-Passwortes.
  • Verwendung von Passwörtern mit einem Bezug zu persönlichen Daten (Name, Geburtsdatum, etc.).
  • Verwendung des gleichen Passworts für mehrere Konten.
  • Beibehaltung des Standardpasswortes.
  • Versand von Passwörtern per E-Mail.

 

Weitere Maßnahmen

  • Bevorzugung einer starken Authentifizierung, wenn möglich.
  • Verringern der zulässigen Anzahl von Zugriffsversuchen auf Benutzerkonten auf Workstations und vorübergehende Sperrung des Konto, wenn das Limit erreicht ist.
  • Passwörter müssen in angemessener Häufigkeit aktualisiert werden.
  • Ergreifen technischer Maßnahmen, um die Einhaltung der Authentifizierungsregeln zu gewährleisten (z.B. Sperrung eines Kontos, wenn ein Passwort nicht aktualisiert wird).
  • Wenn möglich, vermeiden Sie es, die Benutzeridentifizierung oder Logindaten mit den von den Softwarefirmen standardmäßig definierten Konten zu verwenden und deaktivieren Sie die Standardkonten.
  • Verwenden Sie Passwortmanager, um unterschiedliche Passwörter für jeden Dienst zu haben, während Sie nur ein Master-Passwort behalten.
  • Speichern Sie Passwörter sicher, mindestens mit einer kryptographischen Hash-Funktion unter Verwendung eines Salt (zufällige Zeichenfolge) oder Schlüssels. Der Schlüssel darf nicht in derselben Datenbank gespeichert werden wie die Schlüssel der Passwörter.