Technische und organisatorische Maßnahmen der Raiffeisendruckerei GmbH

1 Vertraulichkeit

  • Zutritt zu schützenswerten Bereichen in der Raiffeisendruckerei nur mit elektronischen Zutrittskarten.
    • Vergabe von Sicherheitsschlüsseln im Einzelfall über Genehmigungsverfahren (duale Kontrolle).
  • Festlegung spezieller Zutrittsberechtigungen nach Beantragung und Genehmigung im BAS.
    Sicherheitsbereiche:
    • Hochsicherheitsbereich
    • Vorstand
    • RZ-Bereiche
  • Gesonderte Regelungen für Besucher, Handwerker, Fremdfirmen und externe Mitarbeiter. Ausweispflicht und Unterzeichnung von Verpflichtungserklärungen.
  • Durchgehende Besetzung der Zentrale (24/7/365). Dauerhafte Alarmsicherung der Gebäude und in der Nacht führt ein Wach- und Schließdienst regelmäßige Außenkontrollgänge durch.
  • Besucherregistrierung am Empfang mit Erhalt eines Besucherausweises.
    • Sichtbares Tragen des Ausweises ist Pflicht
    • Begleitung der Besucher im Haus ist geregelt
  • Zugang zu Datenverarbeitungssystemen erfolgt mit risikoangemessenen Zugangsverfahren, mindestens jedoch mit einer Username-Passwort-Authentifizierung.
    • Passwort-Richtlinie regelt die Vorgaben für alle Client- und Serversysteme
    • Sperrung der Konten nach fehlgeschlagenen Anmeldeversuchen
    • erzwungene Änderung des Initialpassworts bei Passwortrücksetzung
    • Automatische Sperrung von Arbeitsplätzen nach fünfzehn-minütiger Inaktivität, bzw. nach entfernen der 2FA.
  • Datenzugriffe sind über applikationsspezifische und risikoangemessene Berechtigungskonzepte geregelt:
    • Bewilligung durch Vorgesetzte
    • Vergabe der Berechtigungen durch Bereich IT/Organisation
    • Abbildung und Nachweis des Verfahrens über Rollen- und Berechtigungssystem (RoBeRD)
  • Anmeldevorgänge werden protokolliert
    • Protokollauswertung nach den Vorgaben der Lizenzgeber (Mastercard und Visa), sowie bei Missbrauchsverdacht
  • Sofortige Sperrung des Accounts bei Ausscheiden des Mitarbeiters.
    • Sperrdauer gleich 90 Tage, anschließend Löschung des Accounts
  • Fernwartungen sind schriftlich geregelt und werden auf Anfrage erlaubt. Das Wartungsfenster wird gemonitored. Die Aktivitäten werden protokolliert. Eine Auswertung der Protokolle erfolgt nur bei Missbrauchsverdacht. Mit allen Wartungspartnern bestehen entsprechende Verschwiegenheitsvereinbarungen.
  • Der Umgang mit Papierdokumenten ist geregelt. Zur Entsorgung vertraulicher Dokumente stehen Shredder und zentral im Keller gesicherte Papier-Container zur Verfügung.
  • Der Umgang mit Alt-Datenträgern ist ebenfalls geregelt. Vor Entsorgung werden Altdatenträger durch entsprechende Löschverfahren in der IT-Administration gesäubert und anschließend fachgerecht entsorgt. Dazu stehen geeignete Behälter zur Datenträgerentsorgung bereit.
    • Containerleerung regelmäßig über einen, gemäß DIN 66399 zertifizierten Vertragspartner
  • Produktions- und Testsysteme sind strikt getrennt
    • Einsatz von Mehr-Mandantensystemen mit getrennten Authentifizierungs- und Autorisierungskonzepten.
  • Regelung des Zugriffs über Rollen- und Rechtekonzepte. Grundlage ist das Need-To-Know-Prinzip.
  • Jede Auftragsverarbeitung erfolgt nach standardisierten Verfahren.
  • Vertragliche Regelungen mit Auftraggebern und Auftragnehmern entsprechen den gesetzlichen Vorgaben.

 

2 Pseudonymisierung

  • Pseudonymisierung kommt dort zum Einsatz, wo es nach eingehender Bewertung der Risiken durch den Verantwortlichen der Verarbeitung notwendig ist.

 

3 Verschlüsselung

  • Zum Schutz der Daten werden Verschlüsselungstechnologien eingesetzt.
    • Einsatz von symmetrische Verschlüsselung
    • Einsatz von asymmetrische Verschlüsselung
  • Einsatz von Pre-Boot-Authentication auf allen mobilen Client-Systemen
    • Entschlüsselung nach korrekter Eingabe eines Passwortes.
  • Anbindung mobiler Endgeräte von Remote-Standorten (HomeOffice) ausschließlich über Secure-VPN
  • Verschlüsselung mobiler Datenträger (HD’s. Sticks)
    • Zusätzlicher Einsatz von PGP an Arbeitsplätzen, an denen besonders sensible Daten ausgetauscht werden.
    • Dezentrale Schlüsselverwaltung
    • Anbindung an Partner erfolgt über ausfallsichere Standleitungen.
  • Die Standleitungen sind verschlüsselt.

 

4 Integrität

  • Für personenbezogene Daten verarbeitende Systeme existieren dedizierte Berechtigungskonzepte.
  • Für Anwendungen, mit denen für die Betroffenen hoch schutzbedürftige personenbezogene Daten verarbeitet werden ist eine Protokollierung aktiv. Im Falle des Missbrauchsverdachts werden die Protokolle ausgewertet.
  • Der Zugriff auf sensible Daten ist durch Rechteprofile eingeschränkt.
  • Über das Verfahren Rollen- und Berechtigungssystem (RoBeRD) sind zukünftig Zuordnungen und Änderungen von Berechtigungen genehmigungspflichtig und nachvollziehbar.
  • Sofern eine Weiterleitung von vertraulichen Daten erforderlich ist, erfolgt diese verschlüsselt.

 

5 Verfügbarkeit

5.1 Belastbarkeit

  • Zentrale Datenspeicherung erfolgt auf gespiegelten Storage-Systemen.

Die Anwendung SAP wird in den RZ der Fiducia & GAD IT gehostet und über zwei Standorte gespiegelt

  • Moderne Virtualisierungstechnologien sorgen für optimale Systemperformance und verfügen über ausreichend Lastreserven.
  • Leistungsfähige Netzwerkkomponenten sorgen in einem segmentierten Netzwerk für angemessene Performance.
  • Ein Backup- und Recovery-Konzept ist erstellt.
    • Das Backup-Verfahren ist mehrstufig aufgebaut.
    • Bandsicherungen im Verwaltungsbereich werden zusätzlich erstellt und in speziellen Tresoren gelagert (Monatssicherungen an externem Standort). Bandsicherungen im Sicherheitsbereich verlassen diesen Bereich nicht.
  • Ein umfangreiches Notversorgungskonzept ist etabliert.
    • Mit Mehrfacheinspeisung, Dieselgenerator und mehreren USV-Anlagen. Zusätzlich sind eigene BHKW’s im Einsatz.
  • Brandschutzprüfungen und -übungen finden regelmäßig statt

 

6 Physischer oder technischer Zwischenfall

  • Ein ISMS wird etabliert und sorgt für eine regelmäßige Überprüfung der Security-Maßnahmen.
    • Ein KVP wird über eine entsprechende Aufbau- und Ablauforganisation abgebildet.
  • Umfangreiche technische und organisatorische Security-Aspekte sind berücksichtigt (Firewall, Malware-, Viren-, SPAM- und Bot-Schutz, IPS, Portsecurity)
  • Das Handbuch zur Geschäftsfortführung beschreibt die Business Continuity Prozesse.

 

7 Verfahren zur Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM

  • Die RD betreibt ein BCMS und wird zukünftig ein ISMS und DSMS nutzen.
    • Eine Sicherheits-Leitlinie ist verabschiedet.
    • Ein Sicherheitskonzept liegt vor.
    • Eine Datenschutz-Policy ist erstellt.
  • Sicherheitsbeauftragte koordinieren und steuern Sicherheitsprüfungen und dokumentiert die Ergebnisse.
  • Regelmäßige Auswertung von Alarmmeldungen mit Prüfung erforderlicher Maßnahmen und gegebenenfalls Anpassung der entsprechenden Richtlinien.
  • Ein eigener betrieblicher Datenschutzbeauftragter ist benannt.
    • Datenschutzschulungen finden regelmäßig statt.
  • Regelmäßig Durchführung von Datenschutz-Audits.
  • Im Rahmen der Jahresabschlussprüfung wird regelmäßig durch die DGR - Deutsche Genossenschafts-Revision Wirtschaftsprüfungsgesellschaft GmbH ein Prüfbericht zum Stand der Informationstechnologie erstellt und übergeben.
  • Die Interne Revision prüft regelmäßig die Aktualität der Security-, Datenschutz- und Notfallkonzepte
    • Schutz des Betriebsvermögens
    • Netzwerksicherheit
    • Benutzer und Berechtigungen im SAP-System

 

8 Zertifizierung

Von Zertifizierungen im Sinne von Art. 42 DSGVO wird derzeit kein Gebrauch gemacht.

 

9 Genehmigte Verhaltensregeln

Vom Einsatz genehmigter Verhaltensregeln im Sinne von Art. 40 DSGVO wird derzeit kein Gebrauch gemacht.