Inhalt

    Nr. 2.3 – Zugangskontrolle
    (Art. 32 Abs. 1 lit. b und Abs. 2 i.V.m. Art. 5 Abs. 1 lit. f DSGVO)

    Kriterium

    Schutzklasse 1
    (1) Der Cloud-Anbieter stellt sicher, dass Unbefugte keinen Zugang zu Datenverarbeitungssystemen er-halten und auf diese einwirken können. Dies gilt auch für Sicherungskopien, soweit diese personenbezogene Daten enthalten.
    (2) Der Cloud-Anbieter überprüft die Erforderlichkeit der Berechtigungen für den Zugang zu Datenverarbeitungssystemen in regelmäßigen Abständen auf Aktualität und Angemessenheit und aktualisiert sie bei Bedarf.
    (3) Der Cloud-Anbieter überprüft den Zugang von Befugten über das Internet durch eine Zwei-Faktor- Authentifizierung. Der Zugang über das Internet erfolgt über einen verschlüsselten Kommunikationskanal.
    (4) Die Maßnahmen zur Zugangskontrolle sind geeignet, um im Regelfall den Zugang zu Datenverarbeitungssystemen durch Unbefugte aufgrund technischer oder organisatorischer Fehler, einschließlich Bedienfehler, des Cloud-Anbieters oder fahrlässiger Handlungen des Cloud-Nutzers oder Dritter aus-zuschließen. Gegen vorsätzliche Eingriffe besteht ein Mindestschutz, der diese erschwert.
    Schutzklasse 2
    (5) Die Kriterien von Schutzklasse 1 sind erfüllt.
    (6) Gegen zu erwartenden vorsätzlichen unbefugten Zugang besteht ein Schutz, der zu erwartende Zugangsversuche hinreichend sicher ausschließt. Dazu gehören insbesondere ein hinreichender Schutz gegen bekannte Angriffsszenarien sowie Maßnahmen, die einen unbefugten Zugang im Regelfall nachträglich feststellbar machen.
    Schutzklasse 3
    (7) Die Kriterien von Schutzklasse 1 und Schutzklasse 2 sind erfüllt.
    (8) Der Cloud-Anbieter schließt den unbefugten Zugang zu Datenverarbeitungssystemen hinreichend sicher aus. Dies schließt regelmäßig Maßnahmen zur aktiven Erkennung von Angriffen ein. Jeder unbefugte Zugang und entsprechende Versuche sind nachträglich feststellbar.

    Erläuterung

    Das Kriterium der Zugangskontrolle konkretisiert in Teilen die in Art. 32 Abs. 1 lit. b und Abs. 2 DSGVO enthaltene, in hohem Maße konkretisierungsbedürftige Pflicht, die Gewährleistungsziele der Verfügbarkeit, Integrität und Vertraulichkeit (SDM C1.2 – C1.4) von personenbezogenen Daten und Diensten auf Dauer sicherzustellen. Soweit der Cloud-Anbieter für den Zugang zu Datenverarbeitungssystemen verantwortlich ist, benötigt er ein Berechtigungskonzept für den Zugang zu Datenverarbeitungssystemen.

    Umsetzungshinweis

    Schutzklasse 1
    Zugangssteuerungsregeln, Zugangsrechte und -beschränkungen sollten auf Grundlage der risiko- und sicherheitsrelevanten Anforderungen erstellt, dokumentiert und überprüft werden (s. ISO/IEC 27002 Ziff. 9.1.1). Zugangssteuerungen sind sowohl logischer (bspw. hinsichtlich des Zugangs zu Systemprogrammen) als auch physischer Art (bspw. hinsichtlich des Zugangs zu Hardwareschnittstellen) und beide Arten sind zusammen zu berücksichtigen.
    Zugangsberechtigungen für Benutzer unter Verantwortung des Cloud-Anbieters (interne und externe Mitarbeiter) werden in einem formalen Genehmigungsverfahren mit festgelegten Verantwortlichkeiten erteilt (s. ISO/IEC 27002 Ziff. 9.2.2). Organisatorische und/oder technische Maßnahmen stellen sicher, dass eindeutige Benutzerkennungen vergeben werden, die jeden Benutzer eindeutig identifizieren (s. ISO/IEC 27002 Ziff. 9.2.1).
    Regeln sollten auf der Grundlage festgelegt werden, dass grundsätzlich alles verboten ist, was nicht ausdrücklich gestattet wird („Least-Privilege-Prinzip“) (s. ISO/IEC 27002 Ziff. 9.1.1). Man erhält nur Zugang zu den Datenverarbeitungssystemen (IT-Ausrüstung, Anwendungen, Verfahren, Räume), die zur Ausführung der eigenen Aufgaben/Tätigkeiten/Funktionen benötigt werden („Need-to-know-Prinzip“).
    Das Verfahren zur Anmeldung an einem System/einer Anwendung sollte so gestaltet sein, dass die Gefahr eines unbefugten Zugangs möglichst gering ist (s. ISO/IEC 27002 Ziff. 9.4.2). Das Anmeldeverfahren sollte daher so wenige Informationen wie möglich über das System/die Anwendung preisgeben, um einem unbefugten Benutzer keine Hilfestellung zu geben. Systeme sollten erst nach Abmeldung verlassen oder mit einer Bildschirm- und Tastensperre geschützt werden, die durch eine Benutzerauthentifizierung gesichert ist, wenn sie unbeaufsichtigt sind oder nicht genutzt werden (s. ISO/IEC 27002 Ziff. 11.2.9).
    Eine regelmäßige Überprüfung der Zugangsrechte sollte durchgeführt werden. Dabei sollte insbesondere eine Anpassung der Zugangsrechte der Benutzer bei Änderung ihrer Funktionen oder Tätigkeiten erfolgen. Zudem sollte eine unverzügliche Entziehung von Benutzerberechtigungen durchgeführt werden, wenn die Benutzer die Organisation verlassen haben.
    Alle Anlagen des Cloud-Anbieters sollten korrekt gewartet werden, damit ihre fortgesetzte Verfügbarkeit und Integrität gewährleistet werden können.
    Schutzklasse 2
    Es gelten die Umsetzungshinweise für Schutzklasse 1.
    Der Zugang sollte ausreichend überwacht und geschützt werden, um Angriffe zu erkennen. Dazu sollten u.a. Viren-Schutz- und Reparaturprogramme eingesetzt werden, die eine signatur- und verhaltensbasierte Erkennung und Entfernung von Schadprogrammen ermöglichen (s. BSI C5 Anf. RB-05).
    Die Zuteilung geheimer Authentifizierungsinformationen (z. B. Passwörter, Zertifikate, Sicherheitstoken) an Mitarbeiter des Cloud-Anbieters oder den Cloud-Nutzer sollte, soweit diese organisatorischen oder technischen Verfahren des Cloud-Anbieters unterliegt, in einem geordneten Verfahren erfolgen, das die Vertraulichkeit der Informationen sicherstellt (s. BSI C5 Anf. IDM-07). Soweit die Authentifizierungsinformationen initial vergeben werden, sollten diese nur temporär, höchstens aber 14 Tage lang gültig sein. Benutzer sollten ferner gezwungen werden, diese bei der ersten Verwendung zu ändern. Es sollten interaktive Systeme zur Verwaltung von Kennwörtern genutzt werden sowie starke Kennwörter gemäß dem Stand der Technik (s. ISO/IEC 27002 Ziff. 9.4.3).
    Ein gutes Anmeldeverfahren sollte insbesondere während des Anmeldeverfahrens keine Hilfetexte anzeigen, die sich Unbefugte zunutze machen könnten (s. ISO/IEC 27002 Ziff. 9.4.2). Die Anmeldedaten sollten erst nach Eingabe aller Daten geprüft, und bei Auftreten eines Fehlers sollte nicht angezeigt werden, welcher Teil der eingegebenen Daten richtig oder falsch war. Vor Brute-Force-Anmeldeversuchen sollte geschützt und bei Erkennung einer möglicherweise versuchten oder erfolgreichen Umgehung der Anmeldesteuerung sollte ein Sicherheitsereignis ausgelöst werden. Erfolglose und erfolgreiche Anmeldeversuche sollten protokolliert werden. Inaktive Sitzungen sollten nach einer vorgegebenen Zeitspanne automatisch beendet werden.
    Die Zugangsberechtigung für netzübergreifende Zugriffe sollte auf einer Sicherheitsbewertung auf Grundlage von Kundenanforderungen basieren (s. BSI C5 Anf. KOS-03). Administrative Berechtigungen sollten mindestens halbjährlich überprüft werden (s. BSI C5 Anf. IDM-05).
    Auf die Umsetzungshinweise im BSI C5 Anf. OIS-04, RB-05, RB-17 bis RB-22, IDM-01 bis IDM-13, KOS-03, KOS-04 und SIM-01 bis SIM07 wird hingewiesen.
    Auf die Umsetzungshinweise der ISO/IEC 27002 Ziff. 9, 12.1.4, 12.4.2, ISO/IEC 27018 Ziff. 9 und ISO/IEC 27701 Ziff. 6.6 wird hingewiesen.
    Schutzklasse 3
    Es gelten die Umsetzungshinweise für Schutzklasse 1 und 2.
    Der Zugang sollte ausreichend überwacht und geschützt werden, um Angriffe zu erkennen. Dazu sollten u.a. Schwachstellen-Scanner und Intrusion-Detection- and Prevention-Systeme eingesetzt und jährliche Penetrationstests durchgeführt werden, um Schwachstellen zu identifizieren und zu beheben. Systemkomponenten, welche für die Erbringung des Cloud-Dienstes verwendet werden, sollten gemäß allgemein etablierter und akzeptierter Industriestandards gehärtet werden (s. BSI C5 Anf. RB-22).
    Die Verwendung von Notfallbenutzern (für Aktivitäten, die mit personalisierten, administrativen Benutzern nicht durchgeführt werden können) sollte dokumentiert, begründet und von der Genehmigung einer autorisierten Person, deren Benennung unter Berücksichtigung des Prinzips der Funktionstrennung erfolgt, abhängig gemacht werden. (s BSI C5 Anf. IDM-09). Die Freischaltung des Notfallbenutzers sollte nur so lange erfolgen, wie es für die Aufgabenwahrnehmung notwendig ist.
    Die Verwendung von Dienstprogrammen und Managementkonsolen (z. B. zur Verwaltung des Hypervisors oder virtueller Maschinen), die weitreichenden Zugriff auf die Daten der Cloud-Nutzer ermöglichen, sollte auf autorisierte Personen beschränkt werden (s. BSI C5 Anf. IDM-12). Vergabe und Änderung entsprechender Zugriffsberechtigungen sollten gemäß der Richtlinie zur Verwaltung von Zugangsberechtigungen erfolgen .
    Der Zugang zu Dienst-Quellcode und zugehörigen Objekten (wie Entwürfen, Spezifikationen, Verifizierungs- und Validierungsplänen) sollte geregelt und überwacht werden, um die Hinzufügung nicht berechtigter Dienst-Funktionen zu verhindern und unbeabsichtigte Änderungen zu vermeiden (s. ISO/IEC 27002 Ziff. 9.4.5). Dies kann bspw. durch kontrollierte zentrale Speicherung, vorzugsweise in Software-Quellcode-Bibliotheken, erreicht werden.
    Jeder befugte und unbefugte Zugang und entsprechende Zugangsversuche sollten protokolliert werden. Die Verbindungszeiten sollten beschränkt werden, um zusätzliche Sicherheit und möglichst wenige Gelegenheiten für unbefugte Zugangsversuche zu bieten (s. ISO/IEC 27002 Ziff. 9.4.2).
    Auf die Umsetzungshinweise in der ISO/IEC 29146 „Informationstechnik – Sicherheitsverfahren – Rahmenwerk für Zugangssteuerung“ wird hingewiesen.

    Nachweis

    Der Cloud-Anbieter legt als Nachweis die Dokumentation zur Zugangskontrolle vor, darunter bspw. Dokumentation der TOM im Datensicherheitskonzept, Berechtigungskonzepte, Verfahrensanweisungen, Richtlinien/Konzepte zu Kennwörtern, Dokumentation zu Authentifizierungs- und Verschlüsselungskonzepten bei dem Zugriff (berechtigter Mitarbeiter) und zu Zugangsberechtigungen. Aus der Dokumentation muss ersichtlich werden, dass das Zugangskonzept und die Berechtigungen aktuell sind und fortlaufend aktualisiert werden (bspw. durch Zeitstempel, Versionierungshistorie oder Protokolle der Aktualisierung).
    Die Implementierung, die Angemessenheit und der (fortlaufende) Betrieb von Zugangskontrollen werden im Rahmen eines Vor-Ort-Audits nachgewiesen. Durch eine Befragung des Personals im Rahmen des Audits sollte nachgewiesen werden, ob dieses Kenntnis über entsprechende Verhaltensregeln (z.B. das Verbot der Weitergabe von Passwörtern) hat, und ob Maßnahmen auch gemäß der Dokumentation durchgeführt werden (z.B. Prüfung des Entzuges von Zugangsrechten nach Austritt von Mitarbeitern aus der Organisation). Im Rahmen einer Prüfung können auch Zugangsschnittstellen auf Sicherheit überprüft werden (bspw. Sperrung von Computern von Mitarbeitern).
    Für Schutzklasse 2 und 3 legt der Cloud-Anbieter die Prozessdokumentation zur Feststellung von unbefugten Zugängen als Nachweis vor. Der Nachweis über die tatsächliche Feststellung im Regelfall kann durch die Vorlage von Zugangs- und Ereignisprotokollen oder durch elektronische Prüfpfade durchgeführt werden, sofern unbefugte Zugänge stattgefunden haben. Im Rahmen des Vor-Ort-Audits und einer Befragung oder Prüfung kann der Cloud-Anbieter nachweisen, dass unbefugte Zugänge im Regelfall nachträglich festgestellt werden können. Für Schutzklasse 3 weist der Cloud-Anbieter analog nach, dass jeder unbefugte Zugang und entsprechende Versuche nachträglich feststellbar sind.

    Ist dieses Kriterium relevant für Sie?

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


    Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.