Inhalt

    Nr. 2.5 – Übertragung von Daten und Transportverschlüsselung
    (Art. 32 Abs. 1 lit. b und Abs. 2 i.V.m. Art. 5 Abs. 1 lit. f und Abs. 2 DSGVO)

    Kriterium

    Schutzklasse 1
    (1) Der Cloud-Anbieter setzt bei Datenübertragungsvorgängen eine Transportverschlüsselung nach dem Stand der Technik oder gleichermaßen angemessene Maßnahmen ein oder fordert dies durch entsprechende Konfiguration von Schnittstellen. Die eingesetzte Transportverschlüsselung muss gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
    (2) Die Maßnahmen sind geeignet, im Regelfall Angriffe Unbefugter aufgrund technischer oder organisatorischer Fehler, einschließlich Bedienfehler, des Cloud-Anbieters oder seiner Mitarbeiter oder fahrlässiger Handlungen des Cloud-Nutzers oder Dritter auszuschließen. Die Maßnahmen sind ferner geeignet, die fahrlässige Weitergabe von Daten an Unbefugte durch den Cloud-Anbieter und seine Mitarbeiter auszuschließen. Gegen vorsätzliche Eingriffe besteht ein Mindestschutz, der diese erschwert. Bei verschlüsselter Übertragung sind die Schlüssel sicher aufzubewahren.
    (3) Der Cloud-Anbieter protokolliert automatisiert die Metadaten aller Datenübertragungsvorgänge, einschließlich der Empfänger, auch solche vom und an den Cloud-Nutzer oder an Subauftragsverarbeiter.
    (4) Die Anforderungen dieses Kriteriums gelten auch für die Übertragung von Daten im eigenen Netzwerk des Cloud-Anbieters und seiner Subauftragsverarbeiter und zwischen diesen.
    (5) Der Cloud-Anbieter schützt den Transport von Datenträgern mit TOM, sodass personenbezogene Daten beim Transport der Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Der Cloud-Anbieter dokumentiert die Transporte.
    Schutzklasse 2
    (6) Die Kriterien von Schutzklasse 1 sind erfüllt.
    (7) Der Cloud-Anbieter schützt die Daten gegen vorsätzliches unbefugtes Lesen, Kopieren, Verändern oder Entfernen und schließt zu erwartende Versuche hinreichend sicher aus. Zu den Schutzmaßnahmen gehören insbesondere ein hinreichender Schutz gegen bekannte Angriffsszenarien sowie Maßnahmen, durch die ein unbefugtes Lesen, Kopieren, Verändern oder Entfernen im Regelfall (nachträglich) festgestellt werden kann.
    Schutzklasse 3
    (8) Die Kriterien von Schutzklasse 1 und Schutzklasse 2 sind erfüllt.
    (9) Der Cloud-Anbieter schließt unbefugtes Lesen, Kopieren, Verändern oder Entfernen von Daten hinreichend sicher aus. Er ergreift regelmäßig Maßnahmen zur aktiven Erkennung und Abwehr von Angriffen und stellt jedes unbefugte Lesen, Kopieren, Verändern oder Entfernen von Daten und auch jeden entsprechenden Versuch nachträglich fest.

    Erläuterung

    Das Kriterium der Übertragungs- und Transportkontrolle konkretisiert die in Art. 32 Abs. 1 lit. b und Abs. 2 DSGVO enthaltene, in hohem Maße konkretisierungsbedürftige Pflicht, die Gewährleistungsziele Verfügbarkeit, Integrität und Vertraulichkeit (SDM C1.2 – C1.4) von personenbezogenen Daten und Diensten auf Dauer sicherzustellen und personenbezogene Daten gegen unbeabsichtigte oder unrechtmäßige Vernichtung, Verlust, Veränderung, unbefugten Zugang oder unbefugte Offenlegung während der elektronischen Übertragung, des Transports oder der Speicherung auf Datenträgern zu schützen.

    Umsetzungshinweis

    Schutzklasse 1
    Auf den Technischen Report BSI TR-02102-2 „Kryptographische Verfahren: Empfehlungen und Schlüssellängen. Teil 2 – Verwendung von Transport Layer Security (TLS)“ in der jeweils aktuellen Fassung wird hingewiesen. Die Verwendung von SSL (einschließlich der Version 3.0) ist kein sicheres Verfahren.
    Datenträger, die personenbezogene Daten enthalten, sollten während des Transports vor unbefugtem Zugriff, Missbrauch oder Verfälschung geschützt werden, indem u.a. nur zuverlässige Transport- bzw. Kurierdienstleister beauftragt werden (s. ISO/IEC 27002 Ziff. 8.3.3). Die Transportbehältnisse sollten ausreichend sein, um Datenträger vor Umweltfaktoren wie Hitze, Feuchtigkeit oder elektromagnetischen Feldern zu schützen. Die Daten sollten verschlüsselt und die Transporte und Transferzeiten dokumentiert werden.
    Auf die Umsetzungshinweise im BSI C5 Anf. KRY-01, KRY-02, KOS-01, KOS-02, KOS-05 und KOS-07 wird hingewiesen.
    Schutzklasse 2
    Es gelten die Umsetzungshinweise für Schutzklasse 1.
    Formale Übertragungsrichtlinien, -verfahren und -maßnahmen sollten vorhanden sein, um die Übertragung von Information für alle Arten von Kommunikationseinrichtungen zu schützen (s. ISO/IEC 27002 Ziff. 13.2.1). Hierzu zählen Verfahren, um zu verhindern, dass übertragene Informationen abgefangen, kopiert, verändert, umgeleitet oder zerstört werden; Verfahren zur Erkennung von und zum Schutz vor Schadsoftware, die durch die Verwendung elektronischer Kommunikationseinrichtungen übertragen werden; Maßnahmen und Beschränkungen in Verbindung mit der Nutzung von Kommunikationseinrichtungen, z. B. automatische Weiterleitung von E-Mails an externe E-Mail-Adressen und Maßnahmen zur Sicherstellung der Zuverlässigkeit und Verfügbarkeit des Dienstes (bspw. Maßnahmen gegen Denial-of-Service-Attacken).
    Vereinbarungen sollten die sichere Übertragung von personenbezogenen Daten zwischen dem Cloud-Anbieter und externen Parteien behandeln.
    Auf die Umsetzungshinweise der ISO/IEC 27002 Ziff. 8.3.3, 10.1.1, 10.1.2, 12.4, 13.1.2, 13.2, 14.1.3, ISO/IEC 27018 Ziff. 10.1.1, A.10.6, A.10.9, ISO/IEC 27701 Ziff. 6.7, 6.5.3.3, 6.10, 6.11.1.2 und 8.4.3, ISO/IEC 27040:2017-03 Ziff. 6.7.1 und 7.7.1 wird hingewiesen.
    Schutzklasse 3
    Es gelten die Umsetzungshinweise für Schutzklasse 1 und 2.
    Die Übertragung von personenbezogenen Daten sollte umfassend überwacht und geschützt werden, um Angriffe zu erkennen. Dazu sollten u.a. Schwachstellen-Scanner und Intrusion-Detection- and Prevention-Systeme eingesetzt werden und jährliche Penetrationstests durchgeführt werden, um Schwachstellen zu identifizieren und zu beheben.

    Nachweis

    Der Cloud-Anbieter legt als Nachweis die Dokumentation zur Übertragung von Daten und Transportverschlüsselung vor, darunter bspw. die der TOM im Datensicherheitskonzept, Verfahrensanweisungen, Richtlinien, Protokoll- und Logdaten, Ergebnisprotokolle interner/externer Audits, Übersicht zu eingesetzten Sicherheitsscannern, Dokumentation des Infrastrukturzugriffs via APIs, Dokumente zum Schlüsselmanagement (insb. Zugriff und Verwahrung der Schlüssel), Dokumente zum Transport von Datenträgern und Dokumentation der Prozesse zur Datenweitergabe.
    Durch Prüfungen muss der Cloud-Anbieter nachweisen, dass die Dokumentation mit der tatsächlichen Umsetzung der Maßnahmen übereinstimmt sowie die Maßnahmen wirksam und aktuell sind. Auch eine Befragung der Mitarbeiter z.B. im Hinblick auf die Kenntnis der relevanten Richtlinien und Anweisungen und eine Stichprobenprüfung der Reaktion relevanter Mitarbeiter zur Umsetzung festgelegter Richtlinien und Anweisungen kann als Nachweis angebracht werden.
    Für Schutzklasse 2 und 3 legt ein Cloud-Anbieter die Dokumentation zur Feststellung von unbefugtem Lesen, Kopieren, Verändern oder Entfernen von personenbezogenen Daten vor. Die tatsächliche Feststellung im Regelfall kann durch die Prüfung von Ereignisprotokollen, Protokollen zur Abwehr und Erkennung von Angriffen oder elektronischer Prüfpfade nachgewiesen werden, sofern unbefugte Tätigkeiten stattgefunden haben. Für Schutzklasse 3 weist ein Cloud-Anbieter analog nach, ob jedes unbefugte Lesen, Kopieren, Verändern oder Entfernen von Daten und entsprechende Versuche nachträglich feststellbar sind.

    Ist dieses Kriterium relevant für Sie?

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert


    Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

    © 2024 AUDITOR. Built using WordPress and Mesmerize Theme.