Saint Elmo's Datenschutz

Curiosity is human nature

Looking
for more?

Curiosity is human nature

Get in
touch!

Technische und organisatorische Maßnahmen der Serviceplan-Gruppe

1. Allgemeines

Serviceplan hat unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen getroffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Serviceplan hat angemessene technische und organisatorische Maßnahmen etabliert, um

  • den Zutritt zu Orten zu beschränken, an denen personenbezogene Daten oder andere vertrauliche Informationen aufbewahrt werden.
  • Systeme, auf denen personenbezogene Daten oder andere vertrauliche Informationen gespeichert sind, gegen einen unbefugten Zugriff zu sichern.
  • zu gewährleisten, dass nur autorisierte Personen Zutritt zu Serverräumen haben.
  • zu gewährleisten, dass Versuche eines unberechtigten Zutritts entdeckt und verhindert werden.
  • jede Person, die Zugriff auf personenbezogene Daten oder andere vertraulichen Informationen nehmen möchte, eindeutig zu identifizieren.
  • einen solchen Zugriff ausschließlich berechtigten Personen zu gestatten.
  • zu verhindern, dass personenbezogene Daten oder andere vertrauliche Informationen unbefugt eingesehen, kopiert, verändert oder gelöscht werden können.
  • Berechtigungsprofile einzurichten und zu konfigurieren, die sicherstellen, dass Mitarbeiter jeweils nur Zugriff auf solche personenbezogenen Daten und anderen vertraulichen Informationen bzw. zu solchen Ressourcen haben, die sie zur Erfüllung der ihnen jeweils zugewiesenen Pflichten zwingend benötigen.
  • feststellen zu können, ob, wann und von wem personenbezogene Daten und andere vertrauliche Informationen in die CRM-Systeme eingegeben wurden, bzw. ob, wann und von wem auf solche Daten zugegriffen wurde oder diese kopiert, verändert oder gelöscht wurden.
  • zu gewährleisten, dass personenbezogene Daten und andere vertrauliche Informationen nur gemäß diesem Sicherheitskonzept und sonstiger Vorgaben (z.B. anwendbare Gesetze, Kundenverträge, interne Richtlinien) verarbeitet werden.
  • zu gewährleisten, dass personenbezogene Daten und andere vertrauliche Informationen, die für unterschiedliche Zwecke erhoben werden, getrennt verarbeitet werden können und
  • zu gewährleisten, dass personenbezogene Daten und andere vertrauliche Informationen nach Möglichkeit pseudonymisiert oder verschlüsselt werden.
  • zu gewährleisten, dass die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Systemen und Diensten im Zusammenhang mit der Verarbeitung personenbezogener Daten und anderer vertraulicher Informationen auf Dauer sichergestellt werden.
  • zu gewährleisten, dass die Verfügbarkeit personenbezogener Daten und anderer vertraulicher Informationen und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können.
  • zu gewährleisten, dass alle Mitarbeiter, die Zugang zu personenbezogenen Daten oder anderen vertraulichen Informationen haben, ihrer Pflichten und der Konsequenzen ihrer Verletzung gewahr sind.
  • zu gewährleisten, dass Mitarbeiter durch Awareness-Maßnahmen in Ihrer Rolle im Incident Mangement (Störungsmanagement) geschult sind.
  • durch Prozesse zu gewährleisten, dass Datenschutzverletzungen innerhalb von 24 Stunden an die verantwortliche Stelle gemeldet werden.
  • Maßnahmen in wichtigen Einzelbereichen sind in den folgenden Abschnitten zusammengefasst, wobei sich die Darstellung an den Vorgaben aus Art. 32 Abs. 1 DS-GVO in Verbindung mit den technischen Vorgaben des BSI Grundschutzes orientiert.

2. Zutrittskontrolle

Serviceplan ergreift angemessene Maßnahmen, um Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren. Dazu ergreift Serviceplan unter anderem folgende Maßnahmen:

  • Ein unbefugter Zutritt zu den Gebäuden und Räumen ist durch verschiedene bauliche Maßnahmen, technische Einrichtungen und organisatorische Vorkehrungen erheblich ausgeschlossen.
  • Bauliche Schutzmaßnahmen umfassen unter anderem:
    - Türschlösser und elektrische Türschlösser (Transponderkarte und Ausweisleser).
    - Gesicherte Lichtschächte und Lüftungsöffnungen.
    - Sicherheitsverglasung von Fenstern.
  • Technische Einrichtungen umfassen unter anderem:
    - Videoüberwachung in kritischen Bereichen (z.B. alle Eingangstüren etc.) durch die Dallmeier electronic GmbH & Co.KG, Bahnhofstr. 16, 93047 Regensburg, Deutschland.
    - Alarmgesicherte Türen
  • Organisatorische Vorkehrungen umfassen unter anderem:
    - Bewachung der Gebäude (Werksschutz).
    - Schlüsselregelung und Quittierung der Schlüsselausgabe
    In diesem Rahmen wird es dokumentiert wer, welche Zutrittskarte bekommt. Die Zutrittskarten und die Schlüssel werden über das Personalsystem nur personalisiert ausgegeben (Anbieter: Dorma Matrix Software) und vom Facility Management verwaltet. Das gesamte Zugangssystem wird von der Dormakaba International Holding AG, Group Communications, Hofwisenstrasse 24, 8153 Rümlang, Schweiz geliefert.
    - Gesicherte Aufbewahrung von Generalschlüsseln und Regelungen zur Generalschlüsselentnahme.
    - Räumliche Aufbewahrungsorte für die Verwahrung der Datensicherungen (abschließbarer Schrank, Tresor).
    Nur einem Teil der berechtigten IT Mitarbeiter und benannten Mitarbeitern aus dem Facilitymanagement wird der Zutritt gewährt (insgesamt zehn Mitarbeitern). Dies ist für Wartungsarbeiten und aus Brandschutzgründen notwendig.
    - Protokollierung der Zutritte zu Anlieferungszonen.
    - Spezielle Sicherung des Zugangs der Administratoren.
    - Klare Zuweisung der Berechtigungen (Zugang Gebäude, Büro, Serverraum).
    - Regelmäßige Prüfung der Zutrittsberechtigungen.
  • Gast-Prinzip:
    - Der Zugang in Gebäude ist für Besucher nur über den mit Personal besetzten Empfang möglich, von dem aus Besucher durch einen internen Mitarbeiter abgeholt und durch das Gebäude stets begleitet werden, d.h. Besucher können sich nicht frei und unkontrolliert im Gebäude bewegen.
    - Besonders kritische Bereiche (z.B. Serverräume) sind mit Brandschutztüren gesondert gesichert.
    - Regelmäßige und anlassbezogene Kontrolle der Funktionalität der IT, u.a. unter dem Aspekt der Zutrittskontrolle

3. Datenträger- und Speicherkontrolle

Serviceplan ergreift angemessene Maßnahmen, um zu verhindern, dass Datenträger von Unbefugten gelesen, kopiert, verändert oder gelöscht werden können. Dazu ergreift Serviceplan unter anderem folgende Maßnahmen:

  • Der Einsatz von mobilen Datenträgern ist im Grundsatz nicht zulässig. Hiervon kann abgweichen werden, wenn dies aus administrativen Gründen (z.B. Datenumzug von einem Endgerät auf ein anderes), aus organisatorischen Gründen (z.B. Sichtung der Aufnahmen aus einem Fotoshooting) oder aufgrund einer Kundenanforderung (z.B. Übergabe von Kundendaten) erforderlich ist. Für den Transfer von Kundendaten wird jedoch bevorzugt ein verschlüsselter und mit persönlichem Zugriff versehener HTTPS-Server verwendet.
  • Vor der Benutzung wird das entsprechende Gerät immer durch einen Virenscanner geprüft.
  • Für die Datensicherung wird die Software ownCloud der ownCloud GmbH, Rathsbergstr. 17, 90411 Nürnberg, Deutschland verwendet. Die Daten werden auf eigenen Servern gehostet (Filehosting). Dadurch kann von mehreren Rechnern auf einen konsistenten
  • Serviceplan Group SE & Co. KG Stand: Oktober 2020 Technische und organisatorische Maßnahmen - 4 - Bereich: IT-Sicherheit
  • Datenbestand zugegriffen werden. Darüber hinaus wird Office 365 von Microsoft (Microsoft Corporation, Redmond, One Microsoft Way, Redmond, Washington 98052-6399, United States) eingesetzt. Es wird gewährleistet, dass die Daten ausschließlich in Europa verarbeitet werden.
  • Umgehende Löschung bzw. Deaktivierung von Berechtigungen, die nicht oder nicht mehr benötigt werden.
  • Sichere Löschung bzw. Vernichtung und Entsorgung von elektronischen Datenträgern und sonstige Unterlagen mit vertraulichen Informationen, die nicht weiter benötigt werden.
  • Zertifizierte Entsorgung von alten Sicherungsbänder.

4. Benutzerkontrolle

Serviceplan ergreift angemessene Maßnahmen, um zu verhindern, dass automatisierte Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte genutzt werden. Dazu ergreift Serviceplan unter anderem folgende Maßnahmen:

  • Multi-Faktor-Authentifizierung der Nutzer (MFA):
    - Sign-in Risk Policy und User Risk Policy: Die komplette Authentifizierung wird auf Grundlage von diversen Plausibilitätsrichtlinien sowie eines umfassenden Daten Trackings überwacht und geprüft.
    - Biometrische Authentifizierung, FaceID, TouchID, Windows Hello und Apple Watch. Auf einzelnen Geräten ist eine via 6-digit-Pin-Authentifizierung möglich.
    - Bei dem Authentifizierungsprozess sind bis maximal zehn Versuche durchzuführen. Danach wird das Gerät gesperrt.
    - Die PIN-Authentisierung ist nur an dem persönlich zugewiesenen Gerät, auf dem sie eingerichtet wurde, realisierbar. Die PIN ist für Dritte ohne diese bestimmte Hardware nutzlos.
    - Die PIN-Authentisierung wird durch einen Trusted Platform Module (TPM)-Chip unterstützt. Der Chip umfasst mehrere physische Sicherheitsmechanismen, die ihn manipulationssicher machen. Das Schlüsselmaterial für Benutzer wird im Trusted Platform Module (TPM) des Benutzergeräts generiert und bereitgestellt; dieses bietet Schutz vor Angreifern, die das Schlüsselmaterial erfassen und wiederverwenden möchten. Da hierbei asymmetrische Schlüsselpaare verwendet werden, können Benutzeranmeldeinformationen nicht gestohlen werden.
    - Es wird sichergestellt, dass Mitarbeiter mit privilegierten Rechten ein zehnstelliges Passwort auswählen. Dies muss alle 60 Tage geändert werden.
    - Alle 60 Tage findet eine auf dem Gerät bezogene Revalidierung der Authentisierung statt.
    - Jeder Login wird mit Microsoft Azure AD auf Plausibilität überprüft. Zur Anmeldung an jeglicher IT Eingabe einer Benutzerkennung, üblicherweise bestehend aus Nutzername und Passwort.
    - Automatische Sperrung des Computers nach fünf Minuten Inaktivität mit anschließendem erneutem Login und Karenzzeit von 60 Sekunden.
    - Automatischer Standby-Betrieb für alle Arbeitsstationen und mobile Endgeräte.
  • Verschärfte Passwort Policy:
    - Komplexitätsvorgabe für Passwörter (8 Zeichen, komplex, Kennworthistorie, Kennwortänderung alle 90 Tage).
    - Die Passwörter bestehen aus Buchstaben, Zahlen und Sonderzeichen. Es wird zwischen Groß- und Kleinschreibung unterschieden.
    - Bei Passwortänderungen von Administratoren werden alle anderen Administratoren hierüber informiert (ohne das Passwort zu erfahren).
    - Es gibt keine Gruppen-Passwörter, aber es wird ein Single-Sign-on verwendet für alle zentralen Anwendungen und Systeme.
    - Weitergabeverbot für Benutzerkennungen und Kennwörter: Gleiche oder ähnliche Passwörter dürfen zwei Jahre lang nicht wiederverwendet werden.
    - Neue Mitarbeiter erhalten auf ihre private Mailadresse ein Einmalpasswort zur Aktivierung des Accounts. Es werden keine Default Passwörter verwendet.
    - Die Benutzerkennung darf nicht Bestandteil des Passworts sein.
    - Die von einigen Browsern angebotene Funktion „Passwort speichern“ darf nur an den verwalteten Endgeräten sowie an freigegebenen Browsern verwendet werden.
    - Passwörter, welche innerhalb des Unternehmens verwendet werden, dürfen nicht in anderen Umgebungen (z. B. im Internet, auf Kundenportalen etc.) gleichlautend verwendet werden.
    - Administratoren-Passwörter sind nur festen Mitarbeitern der IT-Abteilung bekannt. Diese sind 30 Zeichen lang. Die Passwörter sind rollenbezogen. Es gibt keine übergreifendes Admin-Passwort.
    - Umgehende Benachrichtigungspflicht gegenüber den IT-Verantwortlichen bei erkanntem oder vermutetem Passwortverlust oder sonstigen Anhaltspunkten für eine unbefugte Verwendung von Benutzerkennungen.
    - Je nach Applikation sind dezentrierte Passwörter auch den Dienstleistern für die entsprechende Anwendung zur Sicherstellung der Kontinuität bekannt (z.B. SAP Dienstleister ISC).
  • Die IT-Sicherheitsrichtline ist im Intranet publiziert und in alle Betriebsprozesse bereits integriert. Jeder interne Mitarbeiter muss diese einmal im Jahr zustimmen. Externe Mitarbeiter sind verpflichtet, eine Vertraulichkeitsverpflichtungserklärung (NDA) zu akzeptieren. Die IT-Sicherheitsrichtline wird regelmäßig überarbeitet, um mit den internen technischen Entwicklungen Schritt zu halten.
  • Es wird sichergestellt, dass ein Zugriff von außerhalb auf das Firmennetzwerk nur mit einer Multi-Faktor-Authentisierung (MFA) möglich ist.
  • Differenzierte Berechtigungen und restriktive Rechtevergabe nach dienstlichen Erfordernissen (Need-To-Know-Prinzip) und zugehörige Dokumentation. Die Vergabe von zusätzlichen Berechtigungen erfolgt nur nach schriftlicher Bestätigung des zuständigen Geschäftsführers.
  • Protokollierung von System-, Applikations- und Datenzugriffen.
  • Schulungsmaßnahmen für Mitarbeiter zum Umgang mit personenbezogenen Daten.

5. Zugriffskontrolle

Serviceplan ergreift angemessene Maßnahmen, um zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Dazu ergreift Serviceplan unter anderem folgende Maßnahmen:

  • Differenziertes Rollen-Berechtigungskonzept wie die Berechtigungen vergeben werden und restriktive Rechtevergabe nach dienstlichen Erfordernissen (Need-To-Know-Prinzip).
  • Grundsätzlich können folgende Rechte vergeben werden:
    - Erstellen (create): Anlegen, Erstellen einer Datei
    - Lesen (read): Lesen einer vorhandenen Datei
    - Modifizieren (modify): Verändern einer vorhandenen Datei
  • Systemseitige Autorisierung, d.h. Prüfung, ob der Nutzer zur Durchführung einer bestimmten Aktion berechtigt ist.
  • Privilegierte Zugriffsrechte (Administratoren, Consultants, Dienstleister, Supervisoren).
  • Vorprüfung und Kontrolle externer Anbindungen an das interne Netz durch die IT-Verantwortlichen.
  • Umgehende Löschung bzw. Deaktivierung von Berechtigungen, die nicht oder nicht mehr benötigt werden.
  • Mitarbeiter dürfen sich nur innerhalb der Systeme und Datenbereiche bewegen, welche sie zur Erfüllung ihres Arbeitsauftrags benötigen. Sollte im Einzelfall ein Zugriff auf Ressourcen möglich sein, die außerhalb des Aufgabengebiets des Benutzers liegen, ist der Vorgesetzte zu verständigen.
  • Die Benutzerkonten und Zugriffsrechte werden von der Fachvorgesetzten über ein betriebsinternes Personalsystem (Colleague Tool) auf Grundlage der Klassifizierung und des Berechtigungskonzept eingerichtet.
  •  Bei Ausscheiden des Mitarbeiters, Versetzungen oder Wechsel von Aufgaben und Zuständigkeiten wird über d Personalsystem (s.o.). automatisch die Sperrung von eventuell nicht mehr benötigten Berechtigungen zu veranlassen.
  • Neue Zugriffsrechte sind entsprechend dem neuen Aufgabengebiet zu beauftragen und einzurichten. Zur Rechtekontrolle ist jährlich zu prüfen. Nicht mehr erforderliche Rechte sind zu löschen.

6. Übertragungs- und Transportkontrolle

Serviceplan ergreift angemessene Maßnahmen, um zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Dazu ergreift Serviceplan unter anderem folgende Maßnahmen:

  • Verschlüsselung aller mobilen Endgeräte.
  • Tunnelverbindung (VPN = Virtual Private Network) über das System SonicWall Mobile Connect (Anbieter: Microsoft Corporation, Redmond, One Microsoft Way, Redmond, Washington 98052-6399, United States). Eine VPN-Verbindung ist nur einmal pro Gerät möglich und ist nur dann technisch möglich, wenn ein Gerät konform ist.
  • Elektronische Signatur und personenbezogene Maiverschlüsselung (Software-Anbieter: SEPPmail – Deutschland GmbH, Ringstrasse 1c, 85649 Brunnthal b. München, Deutschland).
  • Für den Bedarfsfall von hochsensiblen Informationen wird die Verwendung von TLS preferred Transport-Verschlüsselung in der E-Mail-Kommunikation gewährleistet.
  • In Abhängigkeit vom Schutzbedarf sind Verschlüsselung bzw. sichere Transportbehältnisse und Wege zu benutzen. Der physikalische Transport wird über die Ontime Courier GmbH, Alois-Wolfmüller-Straße 8, 80939 München durchgeführt. Dennoch wird dieser in der Regel vermieden.
  • Der Versand oder Transport von Datenträgern erfolgt in der Weise, dass eine Beschädigung der Datenträger möglichst ausgeschlossen werden kann (z.B. luftgepolsterte Umschläge).
  • Alle veröffentlichten Dienste sind transportverschlüsselt (z.B. https, Website, TLS/ITC).
  • Intern: Sämtliche zentrale Systeme sind verschlüsselt.
  • Keine Weiterleitung von E-Mails an private E-Mail-Accounts von Mitarbeitern. Weiterleitungen werden ohne weiteres gemäß der IT-Sicherheitsrichtline dokumentiert.
  • Vorgaben an Mitarbeiter bzgl. Ausdrucken von geheimen Unterlagen: Sicherstellung, dass kein anderer Zugriff auf Ausdrucke bekommt. Die gesamten Drückgeräte sind verschlüsselt. Drucke werden verschlüsselt versendet und zwischengespeichert. Zugriff auf Ausdrucke nur mit personalisierter Karte möglich (TA aQrate). Es ist eine Löschung der auszudrückenden Dokumente nach 72 Stunden vorgesehen.
  • Sämtliche Endgeräte USB-Sticks, Speicherkarten und mobile Laufwerke sowie sonstige mobile Datenträger zur geschäftlichen Nutzung werden von Serviceplan bereitgestellt und unterliegen den Regelungen dieser Richtlinie. Die Beschaffung von IT-Ausrüstung für den Einsatz im Unternehmen ist nur nach Prüfung und Freigabe durch die IT-Abteilung und nur nach den von der IT-Abteilung festgelegten Spezifikationen zulässig.

7. Eingabekontrolle

Serviceplan ergreift angemessene Maßnahmen, um zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob, von wem und zu welcher Zeit personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
Dazu ergreift Serviceplan unter anderem folgende Maßnahmen:

  • Automatische Protokollierung der Systemnutzung unter Beachtung der datenschutzrechtlichen Grenzen. Protokollierung sämtlicher Anmeldungen, Datenzugriffe und Veränderungen, sobald sensible Daten beinhaltet sind.
  • Protokollierung von Zugriffen und Zugriffsversuchen:
    - Zugriff auf Dateien mit personenbezogenen oder vertraulichen personenbezogenen Inhalten.
    - Wiederholte Eingabe von fehlerhaften Passwörtern zu einem Login.
  • Die Protokolle sind regelmäßig und zeitnah im Rahmen der An- und Abmeldung auf sicherheitsrelevante und sonstige kritische Aktivitäten und Zustände auszuwerten. Soweit die Protokolldaten nicht aus Rechtsgründen, z. B. zur Verfolgung von Rechtsansprüchen, länger erforderlich sind, sind diese unmittelbar zu löschen.
  • Untersuchung erkannter oder vermuteter Verstöße gegen sicherheitsrelevante Vorgaben. Einsatz von Content Filter (Sonicwall Supermassive, der Sonicwall Inc. 1033 McCarthy Blvd, Milpitas, CA 95035), Gateway AV, Intrusion Prevention System.

8. Wiederherstellbarkeit

Serviceplan ergreift angemessene Maßnahmen, um sicherzustellen, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können. Es wird zentral über die Regeln zur Dateiablage entschieden und in Zusammenarbeit mit den Administratoren werden die Modalitäten der Datensicherung festgelegt. Alle Regelungen werden in einem Datensicherungsplan festgehalten. Dazu ergreift Serviceplan unter anderem folgende Maßnahmen:

  • Einsatz eines Disk-to-Disk-Backup-Systems: Neben der schnellen Datensicherung ist dadurch die rasche Wiederherstellung gesicherter Daten gewährleistet. Zusätzlich erfolgt eine langfristige Archivierung. Der Einsatz beider Systeme ermöglicht die Kombination aus so genannten „Snapshots“ (Point-in-Time-Copy), die ein momentanes Abbild der Daten sichern und für den Desaster Recovery benötigt werden, mit dem klassischen Backup.
  • Durchführung von Testrücksicherungen im Rahmen des Serviceplan IT Standardverfahrens zur Serverinstallation nach der initialen Sicherung und vor dem Beginn des produktiven Betriebs.
  • Die Serviceplan-Gruppe verfügt über zwei eigene Rechenzentren. Diese haben, entsprechend der Vorgaben des BSI Grundschutzhandbuches, eine Entfernung von mehr als 200 Meter Entfernung voneinander (und werden für die Datenspeicherung eingesetzt. In den Rechenzentren werden die Daten jede Stunde repliziert und zwischen 0-4 Stunden gespiegelt.
  • Alle Daten werden in beiden Rechenzentren für vier Wochen für schnelle Wiederherstellung vorgehalten. Alle Daten werden für zehn Jahre archiviert entsprechend der gesetzlichen Aufbewahrungsfristen.
  • Regelmäßige Datensicherung auf Disks, einschließlich Spiegelung auf ein redundantes Speichersystem.
  • Neben dem zentralen Langzeit-Backup wird im Desaster Recovery-Umfeld die Veeam Backup und Replikation-Lösung eingesetzt. Als Speicherlösung wird Ontap Data Management Software der Netapp, Inc. 1395 Crossman Ave, Sunnyvale CA 94089, United States) verwendet; als Sicherungslösung sind VEEAM Availability Suite und VEEAM Backup for Office 365 (Anbieter: Veeam Software Group GmbH, Linden Park, Lindenstrasse 16, Baar, CH-6340) eingesetzt.
  • Funktions- und Recovery-Tests auch im Hinblick auf Risiko eines Datenverlusts.
  • Serviceplan Group SE & Co. KG Stand: Oktober 2020 Technische und organisatorische Maßnahmen - 9 - Bereich: IT-Sicherheit
  • Indizierung - je nach System - von Daten zur leichteren Auffindbarkeit als Teil des Dokumentenmanagement-Prozesses.
  • Primäre Datensicherung auf ein Plattensubsystem (NetApp Storage System,) welches im zweiten Rechenzentrum untergebracht ist. Durch diese schnelle Datensicherung auf Festplatten über gesicherte Glasfaserverbindungen werden die Beeinträchtigungen der Systeme auf ein Mindestmaß reduziert.
  • Die Recovery-Mechanismen werden in Zusammenarbeit mit der IT-Abteilung der Serviceplan-Gruppe zur Verfügung aller Benutzer gestellt.
  • Verantwortlichkeit der Betreiber von Speichersystemen (etwa SAN, Backup, Archivierung) für die Verfügbarkeit der Speichermedien und die korrekte Abarbeitung von Recovery-Requests.

9. Verfügbarkeitskontrolle

Serviceplan ergreift angemessene Maßnahmen, um zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Dazu ergreift Serviceplan unter anderem folgende Maßnahmen:

  • Gebäude, Räume und IT sind entsprechend der Anforderungen aus Art. 24, 33 DS-GVO in Verbindung mit den Vorgaben des BSI-Grundschutzhandbuchs gegen vorsätzliches oder fahrlässiges Verhalten oder höhere Gewalt herbeigeführte Störungen geschützt, unter anderem durch folgende Maßnahmen:
    - Brandschutzeinrichtungen (Feuerlöscher im Serverraum und in Büros, Brandschutztüren bzw. -klappen, Brandklasseneinteilung der Räume).
    - Videoüberwachung des Serverraumes.
    - Türschlösser und elektrische Türschlösser (Transponderkarte) an allen Serverräumen.
  • Vorkehrungen zur Sicherung und Wiederherstellbarkeit des Datenbestandes (s. oben unter Absatz 6.8 „Wiederherstellbarkeit“).
  • Einsatz von Firewalls, Virenscannern und sonstigen Intrusion Detection und Prevention Systemen, einschließlich regelmäßiger Updates:
    - Virenscanner, die eingesetzt werden: Microsoft System Center Endpoint Protection (Microsoft Corporation, Redmond, One Microsoft Way, Redmond, Washington 98052-6399, United States), + eset Antivirus (ESET, spol. S r.o., Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic), Sophos Antivirus für Speichersysteme (Sophos Limited, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, United Kingdom).
    - Firewall: SonicWall supermassive (Sonicwall Inc. 1033 McCarthy Blvd, Milpitas, CA 95035) sowie SonicWall Network Security virtual (NSV)
    - Gateway security: Sonicwall sma.
  • Einsatz von Jamf Pro (JAMF Software, LLC, 100 Washington Ave S, Suite 1100, Minneapolis, MN 55401, United States), Microsoft Intune und Microsoft SCCM (Microsoft System Center Configuration Manager) für (IT) Systems Management: Applikations- und Lizenzmanagement, Sicherheits- und Konfigurationsmanagement, Patch Management, Computer Imaging sowie Asset Management.
  • Einsatz von Microsoft Intune MDM (Mobile Device Management) sowie Jamf Pro auf allen Endgeräten von Serviceplan zur Konfiguration, Löschung und Suche von Endgeräten, soweit datenschutzrechtlich zulässig.
  • Sicherung neben Kundendaten (Applikationen, Datenbanken, etc.) auch von Daten, die zur Aufrechterhaltung des Betriebs erforderlich sind. Dies sind:
    - Firewall-Regelwerke
    - Proxy-Einstellungen
    - Konfigurationen von Betriebssystemen, Applikationen und Datenbanken
  • Die Sicherung der Daten (Software, Anwendungsdaten, Protokolldaten, Systemdaten) erfolgt nach dem Generationenprinzip. Der Sicherungszyklus sieht eine tägliche Sicherung nach dem „Forward Incrementel Forever“-Prinzip vor. Dabei werden zwischen 30 – 1.500 Generationen je nach Typ vorgehalten.
  • Sicherungszyklus von einer Stunde bis 24 Stunden (je nach Datentyp), ein- bis zu zweimal wöchentlich und einmal monatlich.
  • Für die Datensicherung und –Rekonstruktion sowie die datenschutzgerechte Datenträgeraufbewahrung sind die Systemadministratoren der Serviceplan IT Abteilung Infrastructure unter der Verantwortung des Senior Technical Managers zuständig.
  • Urlaubs-, Krankheits- uns sonstige Vertretungsregelungen: Für alle Technologien/Systeme sind mindestens zwei feste Mitarbeiter zuständig. Für kritische Systeme und Dienstleistungs- und Wartungsverträge ist eine Reaktionszeit von höchstens vier Stunden vertraglich geschuldet.
  • Vorbeugende Sperrung sicherheitskritischer Inhalte (z.B. bestimmte Dateitypen) und nicht vertrauenswürdiger Quellen (z.B. bestimmte Internetseiten).
  • Funktions- und Recovery-Tests auch im Hinblick auf Risiko eines Datenverlusts Quartalsweise Durchführung von Penetration Tests für interne und externe Systeme nach CVSS durch den unabhängigen Dienstleister DATA-SEC IT-Sicherheit.
  • Ausfallrechenzentrum:
    - Für den absoluten Katastrophenfall, der Zerstörung des Rechenzentrums, verfügt Serviceplan über ein weiteres Ersatzrechenzentrum (RZ2). Das HOT Standby Rechenzentrum kann mit RTO (Recovery Time Objekt) zwischen null und vier Stunden wiederhergestellt werden. Die beiden Rechenzentren werden parallel betrieben.
    - Die Infrastrukturanbindungen der WAN-Carrier werden redundant an das Ersatzrechenzentrum herangeführt. Es gibt zwei getrennte Internetleitungen, eine von dem Anbieter MNet und eine von dem Anbieter Telekom. Diese haben eine unterschiedliche Hauszuführung und gehen jeweils in beide Rechenzentren.
    - In Katastrophenfällen werden alle Kundenanbindungen und die Internetanbindung automatisch in das zweite Rechenzentrum umgeleitet.
    - Das zentrale plattenbasierte Backupsystem befindet sich im zweiten Rechenzentrum.
    - Für Notfallsituationen existiert ein entsprechendes Notfallkonzept.

10. Zuverlässigkeit

Serviceplan ergreift angemessene Maßnahmen, um sicherzustellen, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden. Dazu ergreift Serviceplan unter anderem folgende Maßnahmen:

  • Korrektheit von Datensicherungen: Die „technische Fehlerfreiheit“ von Backups ist in einem hohen Maße gewährleistet durch das Datensicherungssystem und den folgenden Prozess:
    - Übertragen der Sicherungsdaten vom Clienten zum Sicherungsserver.
    - Speichern der Sicherungsdaten auf den Festplattensubsystemen des Sicherungsservers.
    - Speichern der Metadaten in der Datenbank des Sicherungssystems und
    - Rückmeldung über Erfolg der Sicherung an den Clienten. Dadurch wird die Sicherung einer Datei erst dann als fehlerfrei gemeldet, wenn alle Vorgänge der Kette erfolgreich abgeschlossen wurden.
  • Der Verantwortliche für die Datensicherung überprüft regelmäßig, ob die Datensicherung tatsächlich korrekt durchgeführt wurde.
  • Prüfpunkte sind dabei:
    - Die Auswertung von Log-Dateien und Fehlerprotokollen.
    - Das Datum der Sicherungsdatei.
    - Die Stichprobenprüfung der Dateiinhalte und
    - Die Plausibilität der Dateigröße.
    - In Einzelfällen, z.B. wenn kryptographische Verfahren eingesetzt werden, ein Dateivergleich.
  • Die Sicherungsserver befinden sich in dem zweiten IT-Rechenzentrum und stehen im Eigentum von Serviceplan. Bei Verlust der Daten bestände im zweiten Rechenzentrum durch lokal begrenzte Ereignisse die Datensicherungen am Standort des Sicherungssystems zur Wiederherstellung zur Verfügung.
  • Ablage und Vorhaltung der gesicherten Daten erfolgt auf SAN Storage Systemen.
  • Hochverfügbarkeit der Hardware: Für alle technischen Einrichtungen hat Serviceplan mit den Herstellern passende Wartungsverträge, die entweder eine umgehende Instandsetzung vorsehen oder Austauschgeräte zur Verfügung stellen. Alle kritischen Hardwareverträge haben eine Reaktionszeit von 4 Stunden oder weniger [Dell, NetApp, Arista Networks und SonicWall, HPE (Hewlett Packard Enterprise Company, Aruba Networks)].
  • Alle zentralen Produktivsysteme werden bei Serviceplan in vielen Fällen im Cluster- oder Failover-Betrieb vorgehalten. Bei Ausfall einzelner Komponenten steht die Anwendung weiterhin zur Verfügung. Bei Einzelsystemen sind alle möglichen Bauteilredundanzen vorhanden (z.B. Lüfter, Netzteile, Netzwerkkarten und Raid-Plattenverbunde).
  • Überwachung aller wesentlichen Systeme (wie dem Backup-System) von proaktiven Meldemechanismen zu den Herstellern, die schon bei Andeutung einer sich anbahnenden Störung entsprechende Maßnahmen einleiten können (icinga).


11. Funktionstrennung

Serviceplan ergreift angemessene Maßnahmen, um zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Dazu ergreift Serviceplan unter anderem folgende Maßnahmen:

  • Physisch und/oder logisch getrennte Speicherung, Veränderung, Löschung und Übermittlung von Daten, die unterschiedlichen Zwecken dienen (Mandantenfähigkeit).
  • Funktionstrennung, insbesondere zwischen Produktions- und Testdaten:
    - Regelmäßige Datensicherung auf Disks, einschließlich Spiegelung auf redundantes Speichersystem.
    - Räumlich getrennte Aufbewahrung von Sicherungsdatenträgern durch Auslagerung: Produktive Daten werden getrennt von Backupdaten im Rechenzentrum aufbewahrt.
    - Durch Firewall-Router-Konfigurationen erfolgt eine Trennung von sicheren (z.B. Firmennetzwerk) und unsicheren (z.B. Internet) Netzwerken. Das interne Firmennetzwerk wird noch einmal in Zonen aufgetrennt, welche jeweils durch interne Firewalls gesondert werden. Eine Zone beinhaltet maximal einen Standort oder bis zu 250 Arbeitsplätze. Sämtlicher Datenverkehr aus dem Campus (internes Clientnetzwerk) auf zentrale Systeme - ob gehostet oder im Rechenzentrum - wird durch eine interne Firewall geprüft.

12. Regelmäßige Überprüfung, Bewertung und Evaluierung der technischen und organisatorischen Maßnahmen

Serviceplan ergreift angemessene Maßnahmen, um sicherzustellen, dass die Wirksamkeit der getroffenen technischen und organisatorischen Maßnahmen regelmäßig überprüft, bewertet und evaluiert wird. Dazu ergreift Serviceplan unter anderem folgende Maßnahmen:

  • Prüfung der Rekonstruktion von Daten mit Hilfe von Datensicherungsbeständen nach jeder Änderung des Datensicherungsverfahrens, ansonsten in regelmäßigen Abständen. Hierbei ist sicherzustellen, dass eine vollständige Datenrekonstruktion möglich ist.
  • Schulung der Mitarbeiter im Umgang mit Daten und zur Schärfung des IT-Sicherheitsbewusstseins. Die Schulungen sind individuell und finden bei Serviceplan vor Ort statt. Hierunter fällt:
    - Die korrekte Wahl und Nutzung der Datenträger zur Datensicherung Die Zugriffsberechtigungen auf Datensicherung bei Datensicherung und Datenrekonstruktion.
    - Die korrekte Nutzung der Programme zur Datensicherung.
    - Die korrekte Aufbewahrung und Dokumentation der Datenträger zur Datensicherung.
  • Eskalations- und Meldewege bei sicherheitsrelevanten Vorkommnissen:
    - Der IT-Helpdesk ist der Single Point of Contact für alle Serviceplan Kunden & Anwender. Für den Standort München wurde das Service Center realisiert und mit persönlichen IT-Ansprechpartnern des 1st Level Supports besetzt. In dieser Anlaufstelle werden unter anderem folgende Aktivitäten durchgeführt:
    - Störungsaufnahme sowie Request-Annahme (Anforderungen).
    - Lösung kleinerer Störungen (Laufzeit < 15 Minuten).
    - Ausleihen von Poolhardware oder weiteres IT-Zubehör.
    - Abgabe von IT-Zubehör bei Mitarbeiteraustritten.
    - Ausgabe von HW bei Mitarbeitereintritten sowie neubestellter Hardware und IT-Zubehör.
    - Dispatch von Gruppentickets.
    - Notfall-Support.
  • Wird für die Bearbeitung von Störungen oder Requests ein tieferes Expertenwissen benötigt, dann werden die Tickets an das Back Office zum 2nd Level geroutet.
  • Die Verfügbarkeit der IT-Verantwortlichen und des betrieblichen Datenschutzbeauftragten und seiner Mitarbeiter als Ansprechpartner bei allen Fragen rund um die IT-Nutzung und IT-Sicherheit ist gewährleistet.

München, den 27.10.2020
Dr. Georg F. Schröder, LL.M.
Datenschutzbeauftragter