Inhalt

    Nr. 2.2 – Sicherheitsbereich und Zutrittskontrolle
    (Art. 32 Abs. 1 lit. b und Abs. 2 i.V.m. Art. 5 Abs. 1 lit. f DSGVO)

    Kriterium

    Schutzklasse 1
    (1) Der Cloud-Anbieter stellt durch risikoangemessene TOM sicher, dass Räume und Anlagen gegen Schädigung durch Naturereignisse gesichert werden und Unbefugten der Zutritt zu Räumen und Datenverarbeitungsanlagen verwehrt wird, um unbefugte Kenntnisnahmen personenbezogener Daten und Einwirkungsmöglichkeiten auf die Datenverarbeitungsanlagen auszuschließen.
    (2) Der Cloud-Anbieter überprüft den Zutritt zu Räumen und Datenverarbeitungsanlagen durch eine Zwei-Faktor-Authentifizierung.
    (3) Die Maßnahmen sind geeignet, um den Zutritt Unbefugter aufgrund technischer oder organisatorischer Fehler, einschließlich Bedienfehler, des Cloud-Anbieters oder fahrlässiger Handlungen Dritter auszuschließen. Gegen vorsätzliche Eingriffe ist ein Mindestschutz vorzusehen, der diese erschwert.
    (4) Der Cloud-Anbieter überprüft die Erforderlichkeit der Berechtigungen für den Zutritt zu Räumen und Anlagen in regelmäßigen Abständen auf Aktualität und Angemessenheit und aktualisiert sie bei Bedarf.
    Schutzklasse 2
    (5) Die Kriterien von Schutzklasse 1 sind erfüllt.
    (6) Zusätzlich ergreift der Cloud-Anbieter geeignete Maßnahmen, um Schädigungen nicht nur durch Naturereignisse, sondern auch durch fahrlässige Handlungen Befugter auszuschließen. Der Zutritt ist vor vorsätzlichen Handlungen Unbefugter hinreichend sicher geschützt, was Schutz gegen Zutrittsversuche durch bekannte Angriffsszenarien, Täuschung und Gewalt einschließt.
    (7) Jeder unbefugte Zutritt und jeder Zutrittsversuch sind nachträglich feststellbar.
    Schutzklasse 3
    (8) Die Kriterien von Schutzklasse 1 und Schutzklasse 2 sind erfüllt.
    (9) Jeder befugte Zutritt wird protokolliert.

    Erläuterung

    Dieses Kriterium konkretisiert in Teilen die in Art. 32 Abs. 1 lit. b und 5 Abs. 1 lit. f DSGVO enthaltene, in hohem Maße konkretisierungsbedürftige Pflicht, die Gewährleistungsziele Integrität, Vertraulichkeit und Verfügbarkeit (SDM 6.2.1 – 6.2.3) von personenbezogenen Daten und Diensten auf Dauer zu gewährleisten. Soweit der Cloud-Anbieter für den Sicherheitsbereich und die Zutrittskontrolle zu Räumen und Datenverarbeitungsanlagen verantwortlich ist, benötigt er ein Berechtigungskonzept für den Zutritt zu Datenverarbeitungsanlagen. Die Zutrittskontrolle gewährleistet den Zutrittsschutz nicht nur im Normalbetrieb, sondern auch im Zusammenhang mit Naturereignissen.

    Umsetzungshinweis

    Schutzklasse 1
    Um sicherzustellen, dass Unbefugte keinen Zutritt zu Räumen und Datenverarbeitungsanlagen erhalten, sollte der Zutritt ins Rechenzentrum über Videoüberwachungssysteme, Bewegungssensoren, Alarmsysteme und von geschultem Sicherheitspersonal fortlaufend überwacht werden. Der Zutritt zu Bereichen, in denen personenbezogene Daten verarbeitet werden, sollte mit einem geeigneten Zwei-Faktor-Authentifizierungsmechanismus gesichert sein, bspw. bestehend aus einer Zutrittskarte und einer geheimen PIN (s. ISO/IEC 27002 Ziff. 11.1.2). Zutrittsrechte sollten regelmäßig (mindestens jährlich) überprüft und aktualisiert sowie, sofern erforderlich, wieder entzogen werden.
    Einrichtungen sollten durch bauliche, technische und organisatorische Maßnahmen vor Feuer, Wasser, Erdbeben, Explosionen, zivilen Unruhen und anderen Formen natürlicher und von Menschen verursachter Bedrohungen geschützt werden (s. BSI C5 Anf. PS-03). Dazu zählen unter anderem Brandfrüherkennungs- und Löschanlagen, die Durchführung von regelmäßigen Brandschutzübungen und Brandschutzbegehungen, um die Einhaltung der Brandschutzmaßnahmen zu prüfen, die Einbettung von Sensoren zum Überwachen von Temperatur und Luftfeuchtigkeit und die Ausstattung aller Gebäude mit Blitzschutzeinrichtungen. Es kann eine fachliche Beratung in Anspruch genommen werden, um mögliche Schäden zu verhindern (s. ISO/IEC 27002 Ziff. 11.1.4).
    Schutzklasse 2
    Es gelten die Umsetzungshinweise für Schutzklasse 1.
    Der Zutrittsschutz sollte durch Errichtung mehrerer physischer Barrieren rund um das Gelände des Cloud-Anbieters und die Einrichtungen zur Datenverarbeitung erreicht werden, da der Ausfall einer Barriere keine unmittelbare Beeinträchtigung der Datensicherheit zur Folge hat (s. ISO/IEC 27002 Ziff. 11.1.1).
    Physische Zutrittssteuerungen sollte insbesondere vor bösartigen Angriffen oder Unfällen konzipiert und angewendet werden, und gleichzeitig an die technischen und wirtschaftlichen Bedingungen des Cloud-Anbieters angepasst werden, die im Datensicherheitskonzept dargelegt sind. Die Gebäudestruktur des Standorts sollte stabil gebaut sein, und alle Außentüren sollten ausreichend mit Hilfe von Kontrollmechanismen (bspw. Schranken, Alarmvorrichtungen, Verriegelungen) vor unbefugtem Zutritt geschützt sein (s. ISO/IEC 27002 Ziff. 11.1.1). Bei den äußeren Türen und Fenstern sollten einbruchhemmendes Material (bspw. nach DIN EN 1627 Widerstandsklasse RC 2) und entsprechende Schließvorrichtungen verbaut sein (s. BSI C5 Anf. PS-01). Alle Außentüren und alle zugänglichen Fenster sollten mit Einbruchmeldeanlagen überwacht werden.
    Besuchern sollte der beaufsichtigte Zutritt nur für spezifische Zwecke und für abgegrenzte Bereiche gestattet werden (s. ISO/IEC 27002 Ziff. 11.1.2). Zusätzlich sollten sie in die Sicherheitsanforderungen des betreffenden Bereichs sowie in die Notfallmaßnahmen eingewiesen werden. Alle Beschäftigten und externen Parteien sollten dazu verpflichtet werden, eine gut sichtbare Kennzeichnung ihrer Zutrittsberechtigung zu tragen und unverzüglich das Sicherheitspersonal zu benachrichtigen, wenn sie auf unbegleitete Besucher oder sonstigen Personen treffen, die keine erkennbare Kennzeichnung tragen.
    Zur Unterbindung böswilliger Handlungen sollten unbeaufsichtigte Tätigkeiten in Sicherheitsbereichen vermieden werden (s. ISO/IEC 27002 Ziff. 11.1.5). Das Mitführen von Foto-, Video-, Audio- und sonstigen Aufzeichnungsgeräten wie Mobiltelefonen sollte untersagt und nur nach ausdrücklicher Genehmigung ge-stattet werden.
    Auf die Umsetzungshinweise im BSI C5 Anf. OIS-04, PS-01, PS-02, PS-03, PS-04 wird hingewiesen.
    Auf die Umsetzungshinweise der ISO/IEC 27002 Ziff. 11.1.1, 11.1.2, 11.1.3, 11.1.4, ISO/IEC 27018 Ziff. 11 und ISO/IEC 27701 Ziff. 6.8 und 6.10.2 wird hingewiesen.
    Schutzklasse 3
    Es gelten die Umsetzungshinweise für Schutzklasse 1 und 2.
    Zur Protokollierung der Zutritte sollte ein physisches Protokollbuch oder ein elektronischer Prüfpfad existieren, der sicher aufbewahrt und überwacht wird (s. ISO/IEC 27002 Ziff. 11.1.2). An- und Abmeldung von Besuchern sollten mit Datum und Uhrzeit vermerkt werden.

    Nachweis

    Der Cloud-Anbieter legt zum Nachweis die relevanten Dokumentationen zum Schutz vor Schädigungen durch Naturereignisse und zur Zutrittskontrolle vor. Dazu zählen unter anderem die Dokumentation der TOM im Datensicherheitskonzept, Berechtigungskonzepte und Verfahrensanweisungen/Konzepte/Richtlinien zu z.B. Wachschutz, Videoüberwachung, Besucherregelungen, Einbruchsmeldeanlagen, Schließsysteme und Berechtigungen.
    Die Implementierung, die Angemessenheit und der (fortlaufende) Betrieb von Zutrittskontrollen müssen im Rahmen von Vor-Ort-Prüfungen nachgewiesen werden. Dabei muss der Cloud-Anbieter die Verfügbarkeit und Zuverlässigkeit von definierten Zutrittskontrollen und die Bekanntheit von Anweisungen bei Mitarbeitern nach-weisen. Zudem muss er die tatsächliche Umsetzung der Maßnahmen vor Ort gemäß der Dokumentation nachweisen (z.B. Wachschutz aktiv, Videoüberwachung vorhanden, Aufzeichnungen und Protokolle vorhanden).
    Der Cloud-Anbieter sollte zudem die Befragung von Mitarbeitern ermöglichen, um nachzuweisen, dass Schulungen und Sensibilisierungsmaßnahmen (bspw. zur Social Engineering Prävention) durchgeführt werden und Mitarbeiter Kenntnis über entsprechende Verhaltensregeln haben (z.B. Umgang mit betriebsfremden Perso-nen). Die Pflege und Aktualität der Maßnahmendokumentation sollte durch entsprechende Dokumentationen nachgewiesen werden (z.B. Zeit-/Datumstempel von Schlüsselbüchern).
    Für Schutzklasse 2 und 3 sollte ein Cloud-Anbieter die Prozessdokumentation zur Protokollierung von unbe-fugten Zutritten und Zutrittsversuchen vorlegen, um nachzuweisen, ob eine fortlaufende Protokollierung vorgenommen wird. Die tatsächliche Protokollierung kann durch die Vorlage von Zutritts- und Ereignisprotokollen oder mittels elektronischer Prüfpfade nachgewiesen werden. Im Rahmen einer Vor-Ort-Prüfung kann nachgewiesen werden, dass unbefugte Zutritte und Zutrittsversuche nachträglich festgestellt werden. Für Schutzklasse 3 gelten diese Nachweise analog zur Feststellung, ob auch jeder autorisierte Zutritt protokolliert wurde.

    Ist dieses Kriterium relevant für Sie?

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


    Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

    © 2024 AUDITOR. Built using WordPress and Mesmerize Theme.