Inhalt

    Nr. 2.4 – Zugriffskontrolle
    (Art. 32 Abs. 1 lit. b und Abs. 2 i.V.m. Art. 5 Abs. 1 lit. f DSGVO)

    Kriterium

    Schutzklasse 1
    (1) Der Cloud-Anbieter stellt durch TOM sicher, dass Berechtigte nur im Rahmen ihrer Berechtigungen Zugriff auf personenbezogene Daten nehmen können und unbefugte Einwirkungen auf personenbezogene Daten ausgeschlossen werden. Dies gilt auch für Datensicherungen, soweit sie personenbezogene Daten enthalten.
    (2) Der Cloud-Anbieter überprüft die Erforderlichkeit der Berechtigungen für den Zugriff auf personenbezogene Daten in regelmäßigen Abständen auf Aktualität und Angemessenheit und aktualisiert sie bei Bedarf.
    (3) Der Cloud-Anbieter kontrolliert alle Zugriffe auf personenbezogene Daten.
    (4) Die Maßnahmen sind geeignet, um im Regelfall den Zugriff auf personenbezogene Daten durch Unbefugte aufgrund technischer oder organisatorischer Fehler, einschließlich Bedienfehler, des Cloud-Anbieters oder fahrlässiger Handlungen des Cloud-Nutzers oder Dritter auszuschließen. Gegen vorsätzliche Eingriffe besteht ein Mindestschutz, der diese erschwert.
    (5) Für Zugriffe von Befugten auf personenbezogene Daten über das Internet ist eine Zwei Faktor-Authentifizierung erforderlich.
    (6) Der Cloud-Anbieter schützt administrative Zugriffe und Tätigkeiten auf kritischen Systemen durch einen starken Authentisierungsmechanismus und protokolliert diese. Die Fernadministration des Cloud-Dienstes durch Mitarbeiter des Cloud-Anbieters erfolgt über einen verschlüsselten Kommunikationskanal.
    (7) Ist ein privilegierter Zugriff der Mitarbeiter des Cloud-Anbieters auf personenbezogene Daten auf Weisung im Cloud-Dienst vorgesehen, ist dieser eindeutig geregelt und dokumentiert. Die privilegierten Zugriffe weisen eine andere Nutzeridentität auf als die Zugriffe für die tägliche Arbeit.
    Schutzklasse 2
    (8) Die Kriterien von Schutzklasse 1 sind erfüllt.
    (9) Zu erwartende vorsätzliche unbefugte Zugriffe sind hinreichend sicher ausgeschlossen. Dazu gehören insbesondere ein hinreichender Schutz gegen bekannte Angriffsszenarien sowie Maßnahmen, durch die ein unberechtigter Zugriff im Regelfall nachträglich festgestellt werden kann.
    (10) Der Cloud-Anbieter ermöglicht es dem Cloud-Nutzer, dass dieser verschiedene zweckbezogene Nutzerrollen für seine Mitarbeiter festlegen kann, um nicht zweckgemäße Zugriffe auf personenbezogene Daten logisch auszuschließen.
    (11) Sofern ein privilegierter Zugriff vorliegt, darf dieser nur in Rollen erfolgen, die von der Administration und vom Rechenzentrumsbetrieb unabhängig sind. Der privilegierte Zugriff ist mit Zwei-Faktor-Authentifizierung abzusichern und die Anzahl der Mitarbeiter mit privilegiertem Zugriff ist so gering wie möglich zu halten.
    Schutzklasse 3
    (12) Die Kriterien von Schutzklasse 1 und Schutzklasse 2 sind erfüllt.
    (13) Unbefugte Zugriffe auf Daten sind hinreichend sicher ausgeschlossen. Dies schließt regelmäßig manipulationssichere technische Maßnahmen zur Prävention und aktiven Erkennung von Angriffen ein. Jeder unbefugte Zugriff und entsprechende Versuche sind nachträglich feststellbar.

    Erläuterung

    Das Kriterium der Zugriffskontrolle konkretisiert in Teilen die in Art. 32 Abs. 1 lit. b und Abs. 2 DSGVO enthaltene, in hohem Maße konkretisierungsbedürftige Pflicht, die Gewährleistungsziele Verfügbarkeit, Integrität und Vertraulichkeit (SDM C1.2 – C1.4) von personenbezogenen Daten und Diensten auf Dauer sicherzustellen. Dies setzt ein Berechtigungskonzept für den Zugriff auf personenbezogenen Daten voraus.
    Technische Maßnahmen sind manipulationssicher, wenn sie nur durch das Zusammenwirken von mehreren unabhängigen Parteien verändert werden können.

    Umsetzungshinweis

    Schutzklasse 1
    Zugriffsberechtigungskonzepte sollten sowohl für die Cloud-Nutzer als auch für die Mitarbeiter des Cloud-Anbieters bestehen. Ein formaler Prozess für die Registrierung und Deregistrierung von Benutzern sollte umgesetzt werden, um die Zuordnung und Entziehung von Zugriffsrechten zu ermöglichen (s. ISO/IEC 27002 Ziff. 9.2.1). Zugriffssteuerungsregeln, Zugriffsrechte und -beschränkungen sollten auf Grundlage des Datensicherheitskonzepts erstellt, dokumentiert und überprüft werden. Regeln sollten auf der Grundlage festgelegt werden, dass grundsätzlich alles verboten ist, was nicht ausdrücklich gestattet wird („Least-Privilege-Prinzip“) (s. ISO/IEC 27002 Ziff. 9.1.1). Man sollte nur Zugriff auf personenbezogene Daten erhalten, die zur Ausführung der eigenen Aufgaben/Tätigkeiten/Funktionen benötigt werden („Need-to-know-Prinzip“). Zugriffsberechtigungen für Benutzer unter Verantwortung des Cloud-Anbieters (interne und externe Mitarbeiter) sollten in einem formalen Genehmigungsverfahren mit festgelegten Verantwortlichkeiten erteilt werden (s. ISO/IEC 27002 Ziff. 9.2.2). Organisatorische und/oder technische Maßnahmen sollten sicherstellen, dass eindeutige Benutzerkennungen vergeben werden, die jeden Benutzer eindeutig identifizieren (s. ISO/IEC 27002 Ziff. 9.2.1). Es sollte eine Funktionstrennung zwischen operativen und kontrollierenden Funktionen („Separation of Duties“) vorgenommen werden (s. BSI C5 Anf. IDM-01).
    Ein geeigneter Managementprozess für die Zugriffskontrolle sollte etabliert werden, der neben der Prüfung der Erforderlichkeit der Berechtigungen auch die Vergabe, Aktualisierung, Kontrolle und den Entzug von Berechtigungen regelt, Zugriffspolitiken überwacht und aktualisiert sowie Passwortrichtlinien überprüft und ihre Einhaltung sicherstellt.
    Es sollten angemessene Sicherheitsmaßnamen gegen interne und externe Angriffe implementiert werden, um einen unbefugten Zugriff zu verhindern. Hierzu zählen beispielsweise sämtliche Standardmaßnahmen für den Schutz des Cloud-Hosts, d. h. Host Firewalls, Network-Intrusion-Detection-Systeme, Applikationsschutz, Antivirus und regelmäßige Integritätsüberprüfungen wichtiger Systemdateien. Alle Zugriffe auf personenbezogene Daten sollten protokolliert werden.
    Vergabe und Änderung von Zugriffsberechtigungen für Benutzer mit administrativen oder weitreichenden Berechtigungen unter Verantwortung des Cloud-Anbieters sollten gemäß dokumentierten Zugriffsrichtlinien erfolgen (s. BSI C5 Anf. IDM-06). Die Zuweisung sollte personalisiert und nach dem für die Aufgabenwahrnehmung notwendigen Maß erfolgen („Need-to-know-Prinzip“). Organisatorische und/oder technische Maßnahmen sollten sicherstellen, dass durch die Vergabe dieser Berechtigungen keine ungewollten, kritischen Kombinationen entstehen, die gegen das Prinzip der Funktionstrennung verstoßen (z. B. Zuweisen von Berechtigungen zur Administration der Datenbank wie auch des Betriebssystems). Soweit dies in ausgewählten Fällen nicht möglich ist, sollten angemessene, kompensierende Kontrollen eingerichtet werden, um einen Missbrauch dieser Berechtigungen zu identifizieren (z. B. Protokollierung und Überwachung durch eine SIEM-Lösung).
    Zuteilung und Gebrauch von privilegierten Zugangsrechten sollten eingeschränkt und gesteuert werden (s. ISO/IEC 27002 Ziff. 9.2.3). Die Zuteilung von privilegierten Zugangsrechten sollte durch einen offiziellen Genehmigungsprozess kontrolliert werden. Normale Geschäftsaktivitäten sollten nicht mit Benutzerkennungen ausgeführt werden, die über privilegierte Zugangsrechte verfügen. Die Kompetenzen von Benutzern mit privilegierten Zugangsrechten sollten regelmäßig überprüft werden, um sicherzustellen, dass sie dem Aufgabenprofil entsprechen.
    Schutzklasse 2
    Es gelten die Umsetzungshinweise für Schutzklasse 1.
    Sicherheitsparameter auf Netzwerk, Betriebssystem- (Host und Gast), Datenbank- und Anwendungsebene (soweit für den Cloud-Dienst relevant) sollten angemessen konfiguriert werden, um unautorisierte Zugriffe zu verhindern (s. BSI C5 Anf. IDM-11). Der Cloud-Dienst sollte ununterbrochen auf Angriffe und Sicherheitsvorfälle überwacht werden, um verdächtige Aktivitäten (z.B. Extraktion großer Datenmengen mehrerer Mandanten), Angriffe und Sicherheitsvorfälle rechtzeitig erkennen und angemessene und zeitnahe Reaktionen einleiten zu können.
    Um vorsätzliche Eingriffe auf Datenverarbeitungsvorgänge durch Mitarbeiter zu erschweren, sollten der Kreis der Berechtigten klein gehalten und Zugriffsberechtigungen restriktiv vergeben werden. Mitarbeiter sollten nur Zugriff auf die Daten und Datenverarbeitungsvorgänge haben, die sie zur Erfüllung ihrer Aufgaben benötigen. Eine weitere Maßnahme, um vorsätzliche Eingriffe durch Mitarbeiter zu erschweren, kann die Implementierung eines Vier-Augen-Prinzips sein, das bestimmte Aktionen an Datenverarbeitungsvorgängen nur zulässt, wenn mindestens ein weiterer Mitarbeiter der Aktion zugestimmt hat. Um Zugriffe durch befugte Mitarbeiter nachträglich nachverfolgen zu können, sollten Zugriffe protokolliert werden.
    Der Prozess zur Verwaltung der Benutzerkennungen sollte folgende Punkte umfassen (s. ISO/IEC 27002 Ziff. 9.2.1):
    a) Verwendung eindeutiger Benutzerkennungen, damit Benutzer mit ihren Handlungen in Verbindung gebracht und verantwortlich gemacht werden können;
    b) Regelmäßige Prüfung der Zugriffsberechtigungen (mindestens jährlich);
    c) Anpassung oder Löschung der Benutzerkennungen und der Rechte von Benutzern, deren Funktionen oder Tätigkeit sich geändert haben;
    d) Regelmäßige Identifizierung, Löschung oder Deaktivierung überflüssiger Benutzerkennungen;
    e) die Gewährung von privilegierten Zugangsrechten sollte in regelmäßigen Abständen überprüft werden, um sicherzustellen, dass keine unbefugten Rechte erworben wurden;
    f) Sicherstellung, dass ehemals genutzte Kennungen nicht an andere Benutzer vergeben werden.
    Die Zuteilung geheimer Authentifizierungsinformationen (z. B. Passwörter, Zertifikate, Sicherheitstoken) an Mitarbeiter des Cloud-Anbieters oder den Cloud-Nutzer sollte, soweit diese organisatorischen oder technischen Verfahren des Cloud-Anbieters unterliegt, in einem geordneten Verfahren erfolgen, das die Vertraulichkeit der Informationen sicherstellt (s. BSI C5 Anf. IDM-07). Soweit die Authentifizierungsinformationen initial vergeben werden, sollten diese nur temporär, höchstens aber 14 Tage lang gültig sein. Benutzer sollten ferner gezwungen werden, diese bei der ersten Verwendung zu ändern. Es sollten interaktive Systeme zur Verwaltung von Kennwörtern und starke Kennwörter gemäß dem Stand der Technik genutzt werden (s. ISO/IEC 27002 Ziff. 9.4.3).
    Richtlinien und Anweisungen mit TOM für die ordnungsgemäße Verwendung mobiler Endgeräte im Verantwortungsbereich des Cloud-Anbieters, die Zugriffe auf IT-Systeme zur Entwicklung und zum Betrieb des Cloud-Dienstes ermöglichen, sollten dokumentiert, kommuniziert und bereitgestellt werden (s. BSI C5 Anf. MDM-01).
    Auf die Umsetzungshinweise im BSI C5 Anf. OIS-04, RB-05, RB-17 bis RB-22, IDM-01 bis IDM-13 und KOS-01, KOS-03, KOS-04, MDM-01 und SIM-01 bis SIM07 wird hingewiesen.
    Auf die Umsetzungshinweise der ISO/IEC 27002 Ziff. 6.2, 9, 12.4.1, 13.2, ISO/IEC 27018 Ziff. 9, A10.13 und ISO/IEC 27701 Ziff. 6.3.2, 6.6, 6.9.1, 6.9.2, 8.2 wird hingewiesen.
    Schutzklasse 3
    Es gelten die Umsetzungshinweise für Schutzklasse 1 und 2.
    Der Zugriff auf personenbezogene Daten sollte umfassend überwacht und geschützt werden, um Angriffe zu erkennen. Dazu sollten u.a. Schwachstellen-Scanner und Intrusion-Detection- and Prevention-Systeme eingesetzt werden und jährliche Penetrationstests durchgeführt werden, um Schwachstellen zu identifizieren und zu beheben. Zudem sollten manipulationssichere technische Maßnahmen zur Prävention und aktiven Erkennung von Angriffen eingesetzt werden. Manipulationssicher ist eine Maßnahme, wenn sie beispielsweise nur durch Zusammenwirken von Cloud-Nutzer und Cloud-Anbieter ausgeführt werden kann.
    Sämtliche relevanten Sicherheitsereignisse einschließlich aller Sicherheitslücken oder -vorfälle sollten erfasst, protokolliert, revisionssicher archiviert und ausgewertet werden. Ein handlungsfähiges Team für Security-Incident-Handling und Trouble-Shooting sollte ununterbrochen erreichbar sein, damit Sicherheitsvorfälle gemeldet und zeitnah bearbeitet werden können.
    Auf die Umsetzungshinweise in der ISO/IEC 24760-1 bis ISO/IEC 24760-3 wird hingewiesen.

    Nachweis

    Der Cloud-Anbieter legt als Nachweis die Dokumentation zur Zugriffskontrolle vor, darunter Dokumentation der TOM im Datensicherheitskonzept, Berechtigungskonzepte, Verfahrensanweisungen, Regelungen für privilegierte Zugriffe, Zugriffsrichtlinien, und Protokolle von administrativen Zugängen und Tätigkeiten. Aus den vorgelegten Dokumenten muss ersichtlich sein, dass das Zugriffskonzept und die Berechtigungen aktuell sind und fortlaufend aktualisiert werden (bspw. durch Zeitstempel, Versionierungshistorie oder Protokolle der Aktualisierung).
    Sofern ein privilegierter Zugriff der Mitarbeiter des Cloud-Anbieters auf personenbezogene Daten auf Weisung des Cloud-Nutzers gegeben ist, legt ein Cloud-Anbieter eine repräsentative Stichprobe von rechtverbindlichen Vereinbarungen mit dem Cloud-Nutzer oder andere Dokumente zur Weisungsbeauftragung durch den Cloud-Nutzer vor, um nachzuweisen, dass die Weisungen hierzu dokumentiert und geregelt sind.
    Die Implementierung und Angemessenheit von TOM zur Zugriffskontrolle werden im Rahmen von Prüfungen und einem Vor-Ort-Audit nachgewiesen. Der Cloud-Anbieter ermöglicht die Durchführung von Sicherheitstests (bspw. Prüfung auf Verschlüsselung, Sicherung der administrativen Tätigkeiten, Firewallkonfiguration etc.), um die Sicherheit und Angemessenheit der technischen Zugriffsschutzmaßnahmen nachzuweisen. Auch können testweise administrative Tätigkeiten durchgeführt und ihre Protokollierung nachgewiesen werden.
    Durch eine Befragung des Personals während des Audits sollte der Cloud-Anbieter nachweisen, dass diese Kenntnis über entsprechende Verhaltensregeln haben (z.B. Verbot der Weitergabe von Passwörtern) und dass Maßnahmen auch gemäß der Dokumentation durchgeführt werden (z.B. Prüfung des Entzuges von Zugriffsrechten nach Austritt von Mitarbeitern aus der Organisation).
    Für Schutzklasse 2 und 3 legt ein Cloud-Anbieter die Prozessdokumentation zur Feststellung von unbefugten Zugriffen vor. Die tatsächliche Feststellung im Regelfall kann durch das Vorlegen von Zugriffs- und Ereignisprotokollen oder durch elektronische Prüfpfade nachgewiesen werden, sofern unbefugte Zugriffe stattgefunden haben. Im Rahmen des Vor-Ort-Audits und einer Befragung oder Prüfung kann nachgewiesen werden, ob unbefugte Zugriffe im Regelfall nachträglich festgestellt werden können. Für Schutzklasse 3 weist ein Cloud-Anbieter analog nach, dass jeder unbefugte Zugriff und entsprechende Versuche nachträglich feststellbar sind.

    Ist dieses Kriterium relevant für Sie?

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


    Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

    © 2024 AUDITOR. Built using WordPress and Mesmerize Theme.