Sicherheit & Datenschutz - Evention
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Sicherheit & Datenschutz
Sicherheit & Datenschutz
Stand: 2019
Inhaltsverzeichnis
1 Europäische Datenschutz-Grundverordnung (DSGVO) ............................................................................ 3
Maßnahmen .......................................................................................................................................... 3
Datenschutzbeauftragter ....................................................................................................................... 3
2 Allgemeine technische und organisatorische Maßnahmen (TOM)........................................................... 4
Datengeheimnis ..................................................................................................................................... 4
Zutrittskontrolle ..................................................................................................................................... 4
Sicherheitsbereiche ................................................................................................................................ 4
Besucher- und Fremdpersonal ............................................................................................................... 5
Vorgaben für die Gebäudereinigung ...................................................................................................... 5
Schlüssel ................................................................................................................................................. 6
Funkalarmanlage ................................................................................................................................... 8
Zugriffs- und Zugangskontrolle .............................................................................................................. 9
Passwörter ........................................................................................................................................... 10
Organisationskontrolle ........................................................................................................................ 10
Datenvermeidung und Datensparsamkeit ........................................................................................... 11
Löschen der Daten................................................................................................................................ 11
Zugangskontrolle ................................................................................................................................. 12
Kontrolle des Zutritts ............................................................................................................................ 12
3 Evention: Verarbeitung personenbezogener Daten gem. DSGVO .......................................................... 13
4 Evention: Anwendungssicherheit.......................................................................................................... 14
OWASP Application Security Verification Standard (ASVS) .................................................................. 14
Vermeidung von SQL-Injection ............................................................................................................. 14
Verhinderung von Fehlern in der Authentifizierung ............................................................................. 15
Vermeidung des Verlustes sensibler Daten .......................................................................................... 15
Schutz vor XML External Entities (XXE) ................................................................................................ 15
Verhinderung von Fehlern in der Zugriffskontrolle .............................................................................. 15
Vermeidung sicherheitsrelevanter Fehlkonfigurationen ...................................................................... 15
Schutz vor Cross-Site Scripting (XSS) .................................................................................................... 16
© 2019 Nexcom IT-Services GmbH Deutschland, alle Rechte vorbehalten. Seite 1
Sicherheit & Datenschutz
Stand: 2019
Verhinderung unsicherer Deserialisierung ........................................................................................... 16
Keine Nutzung von Komponenten mit bekannten Schwachstellen ...................................................... 16
Vermeidung unzureichendes Logging & Monitoring............................................................................ 16
E-WSP-Maßnahmen in der Übersicht................................................................................................... 16
5 Evention: Betriebssicherheit ................................................................................................................. 18
6 Evention: Rechte- und Rollenkonzept ................................................................................................... 18
7 Evention: Standard-konforme Architektur ............................................................................................ 20
© 2019 Nexcom IT-Services GmbH Deutschland, alle Rechte vorbehalten. Seite 2
Sicherheit & Datenschutz
Stand: 2019
1 Europäische Datenschutz-Grundverordnung (DSGVO)
Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung der Europäischen Union, mit der die
Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stel-
len EU-weit vereinheitlicht werden.
Als Dienstleister in der Informationstechnologie bekennt sich die Nexcom IT-Services GmbH ausdrück-
lich zu den Regeln der Europäischen Datenschutz-Grundverordnung und setzt alles daran, durch ent-
sprechende technisch-organisatorische Maßnahmen den Schutz der personenbezogenen Daten uns-
rer Kunden, Partner und Mitarbeiter zu jeder Zeit sicherzustellen.
Die Nexcom IT-Services GmbH hat einen unabhängigen, externen Datenschutzbeauftragten bestellt,
der gemeinsam mit unseren internen Datenschutzverantwortlichen die DSGVO-konformen Maßnah-
men ausgestaltet hat und in regelmäßigen Audits die bestehenden Datenschutzstrukturen unseres Un-
ternehmens überprüft.
Maßnahmen
Im Einzelnen wurden/werden die folgenden Maßnahmen umgesetzt:
1. Überprüfung der bestehenden Datenschutzstrukturen
2. Identifikation der schutzbedürftigen Unternehmensprozesse
3. Ausgestaltung und Implementierung eines Datenschutzkonzepts
4. Umsetzung der technischen und organisatorischen Maßnahmen
5. Konzepte und Ausgestaltung der IT-Sicherheit im Datenschutz (Art. 32 DS-GVO)
6. Erstellung oder Vervollständigung des Verzeichnisses der Verarbeitungstätigkeiten
7. Erstellung von Datenlöschungskonzepten
8. Aufbau eines Informationssicherheitsmanagementsystems (ISMS)
9. Aufbau einer IT-Sicherheitsstruktur
10. Identifikation von Schwachstellen, Bedrohungsszenarien und Risiken
11. Implementierung eines kontinuierlichen Verbesserungsprozesses
12. Planung, Durchführung und Bewertung interner und externer Audits
Datenschutzbeauftragter
Der Datenschutzbeauftragte der Nexcom IT-Services GmbH:
Ralf A. Lanz
Ernastraße 10
53881 Euskirchen
E-Mail: info@lanz-consult.de
Telefon: +49 (0) 2255 9218-235
Fax: +49 (0) 2255 9218-223
© 2019 Nexcom IT-Services GmbH Deutschland, alle Rechte vorbehalten. Seite 3Sicherheit & Datenschutz
Stand: 2019
2 Allgemeine technische und organisatorische Maßnahmen
(TOM)
Datengeheimnis
Die Verarbeitung von personenbezogenen oder sensiblen Daten bei der Nexcom IT-Services GmbH
erfolgt zu jeder Zeit nach den Vorgaben der Europäischen Datenschutz-Grundverordnung (DSGVO).
Den Arbeitnehmern und Arbeitnehmerinnen der Nexcom IT-Services GmbH sind die einschlägigen da-
tenschutzrechtlichen Vorschriften bekannt.
Im Rahmen regelmäßiger Schulungen werden die Arbeitnehmer und Arbeitnehmerinnen über alle
maßgebenden Bestimmungen des Datenschutzes, insbesondere über die Europäische Datenschutz-
Grundverordnung (DSGVO) informiert.
Zutrittskontrolle
Neue Mitarbeiter
Neue Mitarbeiter werden bei Ihrer Einstellung in die Datenschutzrichtlinien der Nexcom IT-Services
GmbH eingewiesen.
Durch Unterschrift des Datenschutzdokumentes „Betriebliche Regelung“ verpflichten sie sich, den Da-
tenschutzrichtlinien zu jeder Zeit nachzukommen.
Die Vergabe von Schlüsseln und Arbeitsmitteln wird in einem Übergabeprotokoll festgehalten und von
beiden Parteien (Arbeitgeber und Arbeitnehmer) unterschrieben.
Sicherheitsbereiche
Die Geschäftsräume der Nexcom IT-Services GmbH verfügen über spezielle Sicherheitsbereiche, de-
ren Zutritt folgendermaßen geregelt ist:
Serverraum
Der Zutritt zum Serverraum (Keller) ist allen Mitarbeitern, Besuchern und Fremdpersonal strikt unter-
sagt. Zutrittsberechtigt sind ausschließlich die Geschäftsführung sowie die durch die Geschäftsfüh-
rung festgelegten Systemadministratoren.
© 2019 Nexcom IT-Services GmbH Deutschland, alle Rechte vorbehalten. Seite 4Sicherheit & Datenschutz
Stand: 2019
Archivraum
Der Zutritt zum Archivraum ist allen Besuchern und Fremdpersonal untersagt. Zwecks Reinigung sowie
bei Reparaturarbeiten ist der Zutritt für Fremdpersonal nur in Begleitung eines Nexcom-Mitarbeiters
gestattet.
Besucher- und Fremdpersonal
Besucher und/oder Fremdpersonal müssen grundsätzlich immer angemeldet sein.
Besucher und/oder Fremdpersonal betreten die Büroräume ausschließlich über den Haupteingang auf
der Thomas-Mann-Straße 37, 53111 Bonn.
Beim Klingeln eines Besuchers am Haupteingang wird dieser zunächst mittels Videoüberwachung
identifiziert und dann per elektronischer Türöffnung in den vorderen Flurbereich des Bürogebäudes
eingelassen.
Der eigentliche Zugang zu den Geschäftsräumen erfolgt daraufhin immer und ausschließlich durch
den persönlichen Empfang eines Nexcom-Mitarbeiters an der inneren Eingangstür.
Besucher haben grundsätzlich nur Zutritt zum Besuchsbereich der Nexcom IT-Services GmbH, beste-
hend aus:
1. Wartezimmer (EG)
2. Meetingraum (EG)
3. Flurbereich (EG)
4. Gästetoilette (EG)
Der Zugang zu den Büros und Funktionsbereichen der Nexcom IT-Services GmbH ist ausschließlich
Reinigungspersonal und Handwerkern gestattet, dies jedoch nur in persönlicher Begleitung eines
Nexcom-Mitarbeiters.
Grundsätzlich haben alle Nexcom-Mitarbeiter dafür Sorge zu tragen, dass sich kein Besucher unbe-
aufsichtigt in den Büroräumen der Nexcom IT-Services GmbH aufhält oder bewegt.
Beim Verlassen der Geschäftsräume werden Besucher immer persönlich zur Eingangstür zurückbeglei-
tet und verabschiedet.
Vorgaben für die Gebäudereinigung
Die Reinigung der Geschäftsräume der Nexcom IT-Services GmbH erfolgt ausschließlich durch eine
festangestellte Mitarbeiterin (Minijob), mit der ein entsprechender Arbeitsvertrag besteht.
Die eingesetzte Reinigungskraft hat eine allgemeine Verpflichtungserklärung zum Schutz der Ge-
schäfts- und Betriebsgeheimnisse der Nexcom IT-Services GmbH unterschrieben. Die Reinigung er-
folgt ausschließlich an vorgegebenen Werktagen und zu vorgegebenen Zeiten, aktuell mittwochs in
der Zeit von 09:00 – 14:00 Uhr. Die Gebäudereinigung erfolgt immer unter Aufsicht eines Nexcom-
Mitarbeiters.
© 2019 Nexcom IT-Services GmbH Deutschland, alle Rechte vorbehalten. Seite 5Sicherheit & Datenschutz
Stand: 2019
Schlüssel
Für den Bürokomplex der NEXCOM IT-Services GmbH, Thomas-Mann-Str. 37, 53111 Bonn, liegen ak-
tuell die folgenden Schlüssel vor:
Schlüssel Stück vorhanden Bezeichnung / Schlüssel-Nr.
Generalschlüssel I (Außentür vorne, Au- 14 8
ßentür hinten, Eingangstür vorne, Ein-
gangstür Treppenhaus (EG), Glastür Pavil-
lon (EG))
Generalschlüssel II (Außentür vorne, Au- 8 1
ßentür hinten, Eingangstür Treppenhaus
(UG), Glastür Pavillon (UG))
Eingangstür Pavillon EG 5 6
Eingangstür Pavillon UG 5 5
Sicherheitstür Keller 3 BKS
Serverraum 1 ./.
Archivraum 15 8
Serverschrank im Serverraum 4 018
Meetingraum 1 52
Küche 2 BKS
Postfach Nr. 1 (oben) 1 15
Postfach Nr. 2 (unten) 1 22
Schlüsselvergabe
Mitarbeiter erhalten bei Ihrer Einstellung standardmäßig ein Exemplar der folgenden Schlüssel:
1. Generalschlüssel
2. Archivraumschlüssel
Soweit dies die Tätigkeit erfordert, erhalten einzelne Mitarbeiter weitere Schlüssel. Die Zuteilung der
Schlüssel an die einzelnen Mitarbeiter ist in der Nexcom-Schlüsselliste protokolliert.
Jeder Mitarbeiter hat den Empfang der Schlüssel in einem persönlichen Schlüsselübergabeprotokoll
per Unterschrift zu bestätigen. Alle Mitarbeiter wurden darüber unterrichtet, dass sie mit den erhalte-
nen Schlüsseln sorgfältig umzugehen haben, diese persönlich gehalten werden müssen und nicht an
dritte Personen geliehen oder ausgehändigt werden dürfen.
Sicherheitsverantwortliche
Neben der Geschäftsführung verfügen jeweils zwei, durch die Geschäftsführung benannte sicherheits-
verantwortliche Mitarbeiter über die zur Öffnung bzw. Schließung des Sicherheitsbereiches erforderli-
chen Sicherheitsschlüssel (Nexcom-Schlüsselliste):
© 2019 Nexcom IT-Services GmbH Deutschland, alle Rechte vorbehalten. Seite 6Sicherheit & Datenschutz
Stand: 2019
1. Generalschlüssel II
2. Sicherheitstür Keller
Die Geschäftsführung oder einer der beiden sicherheitsverantwortlichen Mitarbeiter ist für die tägliche
Öffnung bzw. Schließung des Sicherheitsbereiches verantwortlich.
Verlust von Schlüsseln
Beim Verlust eines Schlüssels sind die Mitarbeiter verpflichtet, umgehend die Geschäftsführung zu be-
nachrichtigen. Daraufhin wird die Geschäftsführung alle notwendigen Sicherheitsmaßnahmen in die
Wege leiten.
Schlüsselrückgabe
Beim Ausscheiden eines Mitarbeiters hat dieser am letzten Tag seiner Betriebszugehörigkeit sämtliche
Schlüssel zurückzugeben. Die Schlüsselrückgabe wird in einem entsprechenden Dokument protokol-
liert.
Schließregelung
Grundsätzlich ist den Mitarbeitern der Nexcom IT-Services GmbH der Zutritt zu den Geschäftsräumen
werktags in der Zeit zwischen 07:00 und 21:00 Uhr gestattet.
Ausnahmen bedürfen der Zustimmung der Geschäftsführung.
Es besteht die folgende Schließregelung.
Morgens
Mitarbeitern ist es gestattet, die Geschäftsräume über zwei Wege zu betreten:
1. Öffnen der Außentür vorne sowie Öffnen der Eingangstür vorne
2. Öffnen der Außentür hinten sowie Öffnen der Eingangstür Treppenhaus (EG)
Beim Betreten ist darauf zu achten, dass sämtliche Türen wieder geschlossen sind sowie die Eingangs-
tür Treppenhaus (EG) abgeschlossen ist.
Der Zugang zum Sicherheitsbereich der Nexcom IT-Services GmbH ist den Mitarbeitern erst nach Öff-
nung durch die Geschäftsführung oder einen der beiden sicherheitsverantwortlichen Mitarbeiter mög-
lich. Die Öffnung des Sicherheitsbereiches erfolgt werktags bis spätestens 08:00 Uhr.
Nach Öffnung des Sicherheitsbereiches haben die Mitarbeiter Zutritt zum Archivraum, in dem die Ar-
beitsrechner (Laptops) außerhalb der Geschäftszeiten sicher verwahrt werden.
Nach dem Verlassen des Archivraumes ist dieser durch jeden Mitarbeiter wieder abzuschließen.
Tagsüber
Es ist es darauf zu achten, dass folgende Türen geschlossen sind:
1. Außentür vorne
2. Eingangstür vorne
3. Außentür hinten
4. Glastüren Pavillon
© 2019 Nexcom IT-Services GmbH Deutschland, alle Rechte vorbehalten. Seite 7Sicherheit & Datenschutz
Stand: 2019
Darüber hinaus ist darauf zu achten, dass folgende Türen abgeschlossen sind:
1. Eingangstür Treppenhaus (EG)
2. Eingangstür Treppenhaus (UG)
3. Tür Archivraum
Abends
Mitarbeitern ist es gestattet, die Geschäftsräume über zwei Wege zu verlassen:
1. Außentür vorne / Eingangstür vorne
2. Außentür / Eingangstür Treppenhaus (EG)
Beim Verlassen ist darauf zu achten, dass sämtliche Türen wieder geschlossen sind sowie die Ein-
gangstür Treppenhaus (EG) abgeschlossen ist.
Bei Verlassen des Büros nach 18:00 Uhr hat jeder Mitarbeiter darüber hinaus dafür zu sorgen, dass die
folgenden Türen abgeschlossen sind:
1. Außentür vorne
2. Außentür hinten
3. Eingangstür vorne
4. Eingangstür Treppenhaus (EG)
Der Sicherheitsbereich der Nexcom IT-Services GmbH wird durch die Geschäftsführung oder durch
einen der beiden sicherheitsverantwortlichen Mitarbeiter nach Verlassen des letzten Mitarbeiters, spä-
testens jedoch um 21:00 Uhr, vollständig verschlossen.
Funkalarmanlage
Die Büroräume der Nexcom IT-Services GmbH sind mit einer hochmodernen Funkalarmanlage der
Firma Abus (Secvest IP) ausgestattet.
Die Aktivierung und Deaktivierung der Funkalarmanlage erfolgt automatisiert gemäß der folgenden
zeitlichen Regelung:
Aktivschaltung
1. Werktags 21:00 – 07:00 Uhr
2. Wochenende und Feiertage: durchgehend 24 h
Die Aktivierung und Deaktivierung der Funkalarmanlage wird protokolliert und täglich überprüft.
Im Falle eines Einbruchs erhalten neben der Geschäftsführung fünf Mitarbeiter eine automatische Mit-
teilung per E-Mail.
Die Mitarbeiter sind darüber unterrichtet, im Fall einer Einbruchsmeldung unverzüglich die Polizeibe-
hörden einzuschalten.
Die Administration der Funkalarmanlage erfolgt durch die Geschäftsführung oder durch einen von der
Geschäftsführung benannten administrativen Mitarbeiter.
© 2019 Nexcom IT-Services GmbH Deutschland, alle Rechte vorbehalten. Seite 8Sicherheit & Datenschutz
Stand: 2019
Zugriffs- und Zugangskontrolle
Ziel der Zugriffs- bzw. Zugangskontrolle der Nexcom IT-Services GmbH ist es, mit Hilfe geeigneter
Maßnahmen zu verhindern, dass Unbefugte Zugang zu Datenverarbeitungsanlagen haben, mit denen
personenbezogene Daten verarbeitet werden.
Verantwortlich für die Umsetzung der Richtlinien für die Zugriffs- bzw. Zugangskontrolle bei der
Nexcom IT-Services GmbH ist die Systemadministration, die in Weisung durch die Geschäftsführung
handelt.
Um die IT-Systeme bzw. System-Komponenten und Netze der Nexcom IT-Services GmbH zu schützen,
existieren Richtlinien zur Zugriffs- bzw. Zugangskontrolle.
Die Regelungen zur Zugriffs- bzw. Zugangskontrolle entsprechen dem Schutzbedarf der Nexcom IT-
Services GmbH sowie deren Kunden.
Grundsätzlich hat jeder Mitarbeiter dafür Sorge zu tragen, dass Unbefugte, wie beispielsweise Besu-
cher, Reinigungspersonal oder Handwerker keinen Zugang zur EDV und seinem persönlichen Arbeits-
platzrechner haben.
Insbesondere hat jeder Mitarbeiter bei Abwesenheit seinen PC zu sperren und zwar über die folgende
Tastenkombination:
Windows- und L-Taste
Zusätzlich ist jeder NEXCOM-Arbeitsplatzrechner mit einer automatischen Sperre innerhalb von 5 Mi-
nuten versehen.
Es existieren Standard-Rechteprofile für nutzungsberechtigte Mitarbeiter aufgrund ihrer Funktionen
und Aufgaben. Die Benutzerrechte für Zugriffe auf Dateien und Programme sind abhängig von der je-
weiligen Rolle eines Mitarbeiters, dem Need-to-Know-Prinzip sowie der Sensitivität der jeweiligen Da-
ten. Grundsätzlich werden die Zugriffsrechte an die Mitarbeiter möglichst restriktiv vergeben.
Hierzu gehören unter anderem die Gruppenrichtlinien, Netzwerkfreigaben, VPN- sowie Remote-Desk-
top-Verbindungen.
Die Mitarbeiter der Nexcom IT-Services GmbH verfügen an ihren persönlichen Arbeitsplatzrechnern
grundsätzlich nicht über lokale Administrationsrechte.
Ausnahmen bilden die Nexcom-Systemadministratoren sowie einzelne Softwareentwickler, die auf-
grund ihrer Programmiertätigkeit Zugriff auf systemrelevante Dateien und/oder Programme benöti-
gen.
Für das Anlegen, Ändern und Löschen von Berechtigungsprofilen bzw. Benutzerrollen gilt die folgende
Regelung:
1. Berechtigungsprofile bzw. Benutzerrollen werden ausschließlich nach Maßgabe der Ge-
schäftsführung angelegt, geändert und gelöscht.
2. Die Durchführung erfolgt immer weisungsgebunden ausschließlich durch die Nexcom-Sys-
temadministration.
© 2019 Nexcom IT-Services GmbH Deutschland, alle Rechte vorbehalten. Seite 9Sicherheit & Datenschutz
Stand: 2019
Passwörter
Richtlinien bei Passwortvergabe und -änderung
Verantwortlich für das Anlegen, Ändern und Löschen von Passwörtern bei der Nexcom IT-Services
GmbH ist ausschließlich die Systemadministration, die auf Weisung der Geschäftsführung handelt.
Es gelten die folgenden Richtlinien:
1. Alle Passwörter müssen mindestens aus 8 Zeichen bestehen.
2. Weiterhin müssen mindestens 3 der 4 folgenden Richtlinien bei der Passwortvergabe vorhan-
den sein:
3. Das Passwort muss mindestens einen Großbuchstaben beinhalten.
4. Das Passwort muss mindestens einen Kleinbuchstaben beinhalten.
5. Das Passwort muss mindestens ein Sonderzeichen beinhalten.
6. Das Passwort muss mindestens eine Zahl beinhalten.
7. Die Windows-Passwörter müssen laut Richtlinie alle 90 Tage geändert werden.
8. Allgemeine Passwörter werden administrativ verwaltet.
Sämtliche allgemeine Passwörter der Nexcom IT-Services GmbH dürfen ausschließlich in der hierfür
vorgesehenen Kennwortdatenbank KeePass gespeichert werden. KeePass verschlüsselt die Passwörter
nach dem Advanced Encryption Standard-Algorithmus (AES). Die Datenbank ist durch einen Haupt-
schlüssel („Master Key“) gesichert, ohne den die Datenbank nicht entschlüsselt werden kann.
Der Zugriff auf die verschiedenen rollenbasierten KeePass-Datenbanken wird von der Nexcom-Sys-
temadministration erteilt und entzogen.
Organisationskontrolle
Ziel der Organisationskontrolle der Nexcom IT-Services GmbH ist es, die innerbetriebliche Organisa-
tion so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird.
Aus diesem Grunde existieren für sämtliche Datenverarbeitungsprozesse und Arbeitsabläufe, in denen
personenbezogene Daten - insbesondere im Kundenauftrag - verarbeitet werden, spezielle Einzelfall-
regelungen, welche die technischen und organisatorischen Maßnahmen für die Datenverarbeitung
exakt festlegen.
Die Einzelfallregelungen sind von jedem am Datenverarbeitungsprozess oder Arbeitsablauf beteiligten
Mitarbeitern zu unterschreiben und exakt einzuhalten.
Grundsätzlich gelten die folgenden allgemeinen Regelungen:
Verschlüsselter Bezug
Sämtliche personenbezogene oder sensible Daten dürfen grundsätzlich nur über verschlüsselte Kom-
munikationswege (z.B. S/MIME-Mail oder HTTPS) ausgetauscht werden.
© 2019 Nexcom IT-Services GmbH Deutschland, alle Rechte vorbehalten. Seite 10Sicherheit & Datenschutz
Stand: 2019
Speicherung der Daten
Sämtliche personenbezogene oder sensible Daten dürfen ausschließlich lokal und temporär auf ei-
nem speziell für derartige Arbeiten eingerichteten Rechner gespeichert werden.
Dieser Rechner befindet sich im Archivraum, welcher ständig verschlossen gehalten wird, und nur tem-
porär zum Zwecke der Datenübermittlung an das Internet angeschlossen wird.
Die Festplatte dieses Rechners ist verschlüsselt und die Hardware vor dem Entnehmen geschützt.
Eine Übertragung oder Weiterleitung der Daten an einen anderen Rechner bzw. Client ist strikt unter-
sagt.
Verboten ist ebenso die serverseitige Speicherung der Daten im Nexcom-Firmennetzwerk.
Bei der Verarbeitung der Daten auf diesem Rechner gelten die folgenden Regeln:
1. Nicht-anonymisierte Daten dürfen nicht länger lokal gespeichert werden als unbedingt nötig.
Sind personenbezogene Daten für Fehlerdiagnosen nötig, müssen diese analysiert und nach
Auffinden der Ursache umgehend anonymisiert werden.
2. Personenbezogene Daten im nicht-anonymisierten Zustand dürfen nicht länger als zwingend
erforderlich auf diesem Rechner verbleiben und müssen mit geeigneten Mitteln dauerhaft ge-
löscht werden.
Datenvermeidung und Datensparsamkeit
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung
von Datenverarbeitungssystemen sind an dem Ziel ausgerichtet, so wenig personenbezogene Daten
wie möglich zu erheben, zu verarbeiten oder zu nutzen.
Insbesondere werden personenbezogene Daten anonymisiert oder pseudonymisiert, soweit dies nach
dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck un-
verhältnismäßigen Aufwand erfordert.
Löschen der Daten
Sämtliche personenbezogene oder sensible Daten sind nach Ihrer Verarbeitung umgehend mit der
Löschanwendung
Secure Eraser
dauerhaft und nicht-widerherstellbar zu löschen.
Um dies zu gewährleisten, ist die Methode „Gutmann“ mit 35 Durchläufen zu wählen.
© 2019 Nexcom IT-Services GmbH Deutschland, alle Rechte vorbehalten. Seite 11Sicherheit & Datenschutz
Stand: 2019
Zugangskontrolle
Für die Arbeit mit schutzwürdigen, personenbezogenen Daten stellt die NEXCOM IT-Services GmbH
den Mitarbeitern einen speziell geschützten Sicherheitsbereich (Archivraum) zur Verfügung, für den die
folgenden Maßnahmen zur Zutrittskontrolle existieren:
1. Sicherung durch Alarmanlage außerhalb der Arbeitszeit
2. Festlegung von Zutrittsberechtigungen für Mitarbeiter der Firma
3. Umsetzung einer Schlüsselregelung mit einer definierten Anzahl von Schlüsseln und einer Na-
mensliste der Schlüsselverantwortlichen
Kontrolle des Zutritts
Sämtliche Arbeiten, die im Zusammenhang mit der Verarbeitung von personenbezogenen Daten ste-
hen, werden ausschließlich in diesem Raum der NEXCOM IT-Services GmbH durchgeführt.
Heimarbeitsplatz
Wird ein Mitarbeiter an einem Heimarbeitsplatz mit der Erhebung, Verarbeitung oder Nutzung perso-
nenbezogener Daten beschäftigt, so ist durch den Mitarbeiter dafür Sorge zu tragen, dass auch hier
das gesetzliche vorgeschriebene Datenschutzniveau gewährleistet sowie die vorliegende betriebliche
Regelung eingehalten wird.
Tragbarer PC (Laptop)
Die Speicherung sensibler oder personenbezogener Daten auf einem tragbaren PC (Laptop), der an
einem Heimarbeitsplatz genutzt wird, ist prinzipiell untersagt. Wird der Laptop gestohlen oder an ei-
nem privaten, nicht hinreichend gesicherten Anschluss mit dem Internet verbunden, ist der erforderli-
che Datenschutz nicht mehr gewährleistet.
Ist dies unumgänglich, muss die Speicherung stets in verschlüsselter Form erfolgen. Sensible Daten,
insbesondere personenbezogene Daten, dürfen auf tragbaren PC nur dann verarbeitet werden, wenn
dies aufgrund der Aufgabenerfüllung unvermeidbar ist. Falls sensible bzw. personenbezogene Daten
verarbeitet werden müssen, so ist die Software TrueCrypt, welche standardmäßig auf allen Arbeits-
rechnern des Unternehmens installiert ist, zu verwenden, um eine sichere Umgebung für diese Daten
bereitzustellen.
Privatnutzung
Die private Nutzung eines im Besitz der Firma Nexcom IT-Services GmbH befindlichen Arbeitsplatz-
rechners ist zu jedem Zeitpunkt und an jedem Ort strikt untersagt.
© 2019 Nexcom IT-Services GmbH Deutschland, alle Rechte vorbehalten. Seite 12Sicherheit & Datenschutz
Stand: 2019
3 Evention: Verarbeitung personenbezogener Daten gem.
DSGVO
Evention® ist eine Web-Applikation zur systematischen Planung, Durchführung und Nachbereitung von
Veranstaltungen wie Sportveranstaltungen, Musik- und Kulturveranstaltungen, Messen- und Ausstel-
lungen, Kongressen und Konferenzen, Generalversammlungen, Lehr- und Bildungsveranstaltungen,
Mitarbeiter- und Kundenveranstaltungen, Seminaren und Workshops.
Inhaber der ausschließlichen, zeitlich und räumlich unbegrenzten Urheber- und Nutzungsrechte an
der Software ist die Nexcom IT-Services GmbH, Thomas-Mann-Str. 37, 53111 Bonn, Deutschland.
Die Urheber- und Nutzungsrechte bestehen weltweit, mit Ausnahme der Nutzungsrechte für die Markt-
gebiete Schweiz und Österreich, für welche die Adon Production AG, Industriestrasse 15, 5432 Neuen-
hof, Schweiz, die ausschließlichen Nutzungsrechte innehat.
Evention® wird im i.d.R. im Rahmen eines Werkvertrages als lizenzpflichtige Software bei einem Auf-
traggeber eingeführt. Einzelheiten zu den Urheber- und Nutzungsrechten sowie den Lizenzbestim-
mungen der Software werden in diesem Fall in dem „Evention® End-User License Agreement“ zwischen
dem Auftraggeber (Kunde) und Auftragnehmer (Nexcom/Adon) geregelt.
Im Rahmen der Planung, Durchführung und Nachbereitung von Veranstaltungen durch den Auftrag-
geber (Kunde) werden personenbezogene Daten verarbeitet. Personenbezogene Daten sind in Even-
tion® Daten von Gästen (Teilnehmern), die je nach Verwendungszweck Mitarbeiter, Kunden, Partner,
Dienstleister oder sonstige natürliche Personen oder Personengruppen sein können. Insofern finden die
Regelungen und gesetzlichen Bestimmungen zum Schutz der Verarbeitung von personenbezogenen
Daten gem. DSGVO grundsätzlich Anwendung.
Prinzipiell gilt, dass in erster Linie der Auftraggeber für die Einhaltung der DSGVO-Richtlinien verant-
wortlich ist und durch entsprechende Maßnahmen die Einhaltung der Grundsätze nachweisen muss.
Die DSGVO führt in Art. 5 explizit die folgenden sechs Grundsätze für die Verarbeitung personenbezo-
gener Daten auf:
1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
2. Zweckbindung (Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke)
3. Datenminimierung („dem Zweck angemessen und erheblich sowie auf das […] notwendige
Maß beschränkt“)
4. Richtigkeit („es sind alle angemessenen Maßnahmen zu treffen, damit [unrichtige] personen-
bezogene Daten unverzüglich gelöscht oder berichtigt werden“)
5. Speicherbegrenzung (Daten müssen „in einer Form gespeichert werden, die die Identifizierung
der betroffenen Personen nur so lange ermöglicht, wie es […] erforderlich ist“)
6. Integrität und Vertraulichkeit („angemessene Sicherheit der personenbezogenen Daten […],
einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsich-
tigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“)
Wir empfehlen im Rahmen der Einführung von Evention® ein kundenspezifisches Datenschutz-Audit
durchzuführen, in dem zunächst die (1) Rechtmäßigkeit, (2) Zweckbindung, (3) Angemessenheit und
(4) Richtigkeit der erfassten Gastdaten überprüft und darauf aufbauend ein individuelles Datenschutz-
konzept ausgestaltet und implementiert werden sollte.
© 2019 Nexcom IT-Services GmbH Deutschland, alle Rechte vorbehalten. Seite 13Sicherheit & Datenschutz
Stand: 2019
Für alle dann erforderlichen technischen Maßnahmen stellt Evention® eine speziell auf die DSGVO-
Anforderungen ausgerichtete Werkzeugpalette bereit:
1. Hohe Anwendungssicherheit durch die Umsetzung des OWASP Application Security Verifica-
tion Standard (ASVS)
2. Vollständige Konfigurierbarkeit der Datentiefe sämtlicher Inhaltsobjekte und Entitäten zur Um-
setzung von Konzepten zur Datenminimierung
3. Hohe Betriebssicherheit durch die frei Wahl des Serverstandortes und Betriebsmodells (Cloud-
oder unternehmensinterner On-Premise-Betrieb)
4. Hierarchisches Rechte- und Rollenkonzept über die Instanzen System, Mandant, Objekt und
Funktion zur Sicherung der Datenintegrität
5. Vollständiges Logging zur Identifikation von Fehleingaben und Schwachstellen sowie Aufde-
ckung von Hacker-Angriffen
4 Evention: Anwendungssicherheit
OWASP Application Security Verification Standard (ASVS)
Die Grundlage für die Anwendungssicherheit von Evention® bildet der OWASP Application Security Ve-
rification Standard (ASVS). OWASP ist eine unabhängige, weltweite Community mit dem Ziel, den Be-
trieb sicherer Webanwendungen zu unterstützen und entsprechende Instrumente kostenfrei zur Verfü-
gung zu stellen.
Der OWASP Application Security Verification Standard bildet den Rahmen für das Evention® Web-
Security-Paket (im Folgenden kurz: E-WSP), welches die folgenden 10 Sicherheitsmaßnahmen bein-
haltet:
Vermeidung von SQL-Injection
E-WSP eliminiert Injection-Schwachstellen, wie beispielsweise SQL-, OS- oder LDAP-Injection, damit
vertrauensunwürdige Daten nicht vom Interpreter als Teil eines Kommandos oder einer Abfrage verar-
beitet werden können. Dadurch kann ein potentieller Angreifer Eingabedaten nicht so manipulieren,
dass er unerlaubte Kommandos ausführen oder unautorisiert auf Daten zugreifen kann.
© 2019 Nexcom IT-Services GmbH Deutschland, alle Rechte vorbehalten. Seite 14Sicherheit & Datenschutz
Stand: 2019
Verhinderung von Fehlern in der Authentifizierung
E-WSP verhindert die fehlerhafte Implementierung von Anwendungsfunktionen, die im Zusammenhang
mit Authentifizierung und Session-Management stehen. Damit ist ausgeschlossen, dass potentielle An-
greifer, Passwörter oder Session-Token kompromittieren oder die entsprechenden Schwachstellen so
ausnutzen können, dass sie die Identität anderer Benutzer vorübergehend oder dauerhaft annehmen.
Vermeidung des Verlustes sensibler Daten
E-WSP schützt alle sensiblen Daten, wie Gastdaten (personenbezogene Informationen) oder Event-
Daten (unternehmensbezogene Informationen), mit umfangreichen Sicherheitsmaßnahmen, wie bei-
spielsweise der Verschlüsselung der gespeicherten Daten oder der verschlüsselten Datenübertragung.
Dadurch wird verhindert, dass Angreifer Daten auslesen oder modifizieren können.
Schutz vor XML External Entities (XXE)
Der sicher konfigurierte XML-Prozessor von Evention® schließt Referenzen auf externe Entitäten inner-
halb sämtlicher XML-Dokumente aus. Dadurch können externe Entitäten nicht dazu eingesetzt wer-
den, mittels URI Datei-Handlern interne Dateien oder File-Shares offenzulegen oder interne Port-
Scans, Remote-Code-Executions oder Denial-of-Service Angriffe auszuführen.
Verhinderung von Fehlern in der Zugriffskontrolle
E-WSP garantiert, dass sämtliche Zugriffsrechte für authentifizierte Nutzer korrekt und durchgängig
implementiert sind. Damit können potentielle Angreifer keine Schwachstellen ausnutzen, um auf Funk-
tionen oder Daten zuzugreifen, für die sie keine Zugriffsberechtigung haben. Zugriffe auf Accounts
anderer Nutzer sowie auf vertrauliche Daten oder aber die Manipulation von Nutzerdaten, Zugriffs-
rechten etc. sind grundsätzlich ausgeschlossen.
Vermeidung sicherheitsrelevanter Fehlkonfigurationen
E-WSP verhindert die Fehlkonfigurationen von Sicherheitseinstellungen, wie unsichere Standardkonfi-
gurationen, unvollständige oder ad-hoc durchgeführte Konfigurationen, ungeschützte Cloud-Spei-
cher, fehlkonfigurierte HTTP-Header und Fehlerausgaben, die vertrauliche Daten enthalten. Alle Be-
triebssysteme, Frameworks, Bibliotheken und Anwendungen sind sicher konfiguriert und werden durch
permanente Sicherheitspatches auf dem aktuellen Stand der Technik gehalten.
© 2019 Nexcom IT-Services GmbH Deutschland, alle Rechte vorbehalten. Seite 15Sicherheit & Datenschutz
Stand: 2019
Schutz vor Cross-Site Scripting (XSS)
E-WSP vermeidet, dass Evention® nicht vertrauenswürdige Daten entgegennimmt und ohne Validie-
rung oder Umkodierung an den Webbrowser sendet. Weiterhin ist ausgeschlossen, dass HTML- oder
JavaScript-Code auf Basis von Nutzereingaben erzeugt wird. Damit wird unterbunden, dass potenti-
elle Angreifer, Scriptcode im Browser des Anwenders ausführen und so die Benutzersitzungen über-
nehmen, Seiteninhalte verändert anzeigen oder den Benutzer auf bösartige Seiten umleiten können.
Verhinderung unsicherer Deserialisierung
E-WSP gewährleistet eine sichere, ausreichend geprüfte Deserialisierungen, um Remote-Code-Execu-
tion-Schwachstellen zu blockieren. Sämtliche Angriffsmuster wie Replay-Angriffe, Injections und Er-
schleichung erweiterter Zugriffsrechte sind ausgeschlossen.
Keine Nutzung von Komponenten mit bekannten Schwachstellen
Evention® verwendet ausschließlich sichere Komponenten, Bibliotheken und Frameworks. Damit wird
verhindert, dass die umgesetzten Schutzmaßnahmen der Core-Applikation unterlaufen und Angriffe
durch die Hintertür ausgeführt werden können.
Vermeidung unzureichendes Logging & Monitoring
E-WSP schützt durch ein ausreichendes Logging und Monitoring vor andauernden oder wiederholten
Angriffen. Denn viele Studien zeigen, dass die Zeit bis zur Aufdeckung eines Angriffs bei ca. 200 Tagen
liegt sowie typischerweise durch Dritte entdeckt wird und nicht durch interne Überwachungs- und
Kontrollmaßnahmen.
E-WSP-Maßnahmen in der Übersicht
Die folgende Abbildung zeigt die E-WSP-Maßnahmen in der Übersicht.
© 2019 Nexcom IT-Services GmbH Deutschland, alle Rechte vorbehalten. Seite 16Sicherheit & Datenschutz
Stand: 2019
Abb. 1: EventionÒ Web-Security-Paket (E-WSP)
© 2019 Nexcom IT-Services GmbH Deutschland, alle Rechte vorbehalten. Seite 17Sicherheit & Datenschutz
Stand: 2019
5 Evention: Betriebssicherheit
Das gewählte Betriebsszenario und der Serverstandort sind ausschließlich abhängig von den Anforde-
rungen des Kunden, der zwischen einem Cloud- oder einem unternehmensinternem On-Premise-Be-
trieb frei entscheiden kann. Dabei verzeichnen wir in unserer Kundschaft trotz dem anhaltenden Trend
zum Cloud-Betrieb weiterhin ein reges Interesse an einem internen Rechenzentrumsbetrieb. Die
Gründe hierfür sind offensichtlich. Gastdaten sind personenbezogene Daten, deren Verwendung nicht
zuletzt nach der Reform der europäischen Datenschutz-Grundverordnung (EU-DSGVO) strengen
Richtlinien unterliegt. Viele unserer Kunden, zu denen auch einige nationale und internationale Banken
und Versicherungen zählen, entscheiden sich aus diesem Grunde dazu, ihre Gastdaten nicht in einer
Cloud-Umgebung zu speichern. Weiterhin sprechen häufig spezielle Integrationsanforderungen, wie
beispielsweise eine LDAP- oder CRM-Anbindung, für einen internen Betrieb, weil die entsprechenden
Schnittstellen nicht von extern angesprochen werden können. Entscheidet sich ein Kunde für ein exter-
nes Hosting, bieten wir selbstverständlich ausschließlich Serverstandorte in sicherheitszertifizierten Re-
chenzentren in Deutschland oder Schweiz an. Entsprechende Nachweise legen wir im Rahmen des in
unseren Kundenkreisen obligatorischen Sicherheitsaudits vor.
6 Evention: Rechte- und Rollenkonzept
Evention® verfügt über ein sehr leistungsstarkes Rechte- und Rollenmanagement. Damit lassen sich
nicht nur die Zugriffsrechte im Back- und Frontend auf nahezu jeder Ebene steuern, sondern auch
vollkommen getrennte Mandanten anlegen, mit denen dann beispielsweise verschiedene Abteilungen
oder Tochterunternehmen einer Organisation völlig unabhängig voneinander eigene Events durchfüh-
ren können. Dabei sind technisch gesehen grundsätzlich beliebig viele Mandanten möglich. Bei einer
performant ausgelegten technischen Infrastruktur garantieren wir den Parallelbetrieb von bis zu 250
Mandanten mit jeweils bis zu 20.000 Gästen innerhalb einer einzigen zentralen Server-Installation.
Neben der grundsätzlichen Mandantenfähigkeit des Systems können innerhalb einer Instanz umfang-
reiche weitere Berechtigungsstufen für das Veranstaltungsportal (Frontend) und die Verwaltungskon-
sole (Backend) gesetzt werden.
Standardmäßig können alle Besucher*innen einer Evention®-Website die angebotenen Veranstaltun-
gen einsehen. Falls Kunden keine öffentlichen Events bewerben möchten, kann der Content komplett
vor fremden Blicken geschützt werden, indem das Veranstaltungsportal nur passwortgeschützt ange-
boten wird. Auch gemischte Formen von teilweise öffentlichen und privaten Angeboten sind problem-
los möglich.
Mit Hilfe von Benutzergruppen können Rechte auf den Ebenen Kategorie, Serie, Event, Ticket, Pro-
grammpunkt und Dokument vergeben werden. So kann detailliert gesteuert werden, welche Benut-
zer*innen welche Leistungen in Anspruch nehmen können.
© 2019 Nexcom IT-Services GmbH Deutschland, alle Rechte vorbehalten. Seite 18Sicherheit & Datenschutz
Stand: 2019
Auch im Backend, auf der Verwaltungsebene, verfügt Evention® über vielseitige Einstellmöglichkeiten,
um Sicherheits- und Datenschutzanforderungen zu erfüllen. Pro Benutzergruppe kann definiert wer-
den, wer Zugriff auf welche Module (Events, Locations, Hotels, Gäste, ...) und die darin enthaltenen
Funktionen (Anlegen, Ändern, Löschen, Exportieren, Mail senden, ...) erhalten soll.
Sowohl im Frontend als auch im Backend können Benutzer*innen automatisch per Single-Sign-On an-
gemeldet werden. Mithilfe verschiedener technischer Schnittstellen (OAuth, SAML, LDAP,
AD, webSEAL) kann so die zentrale Nutzerverwaltung eines Unternehmens standardkonform angebun-
den werden. Benutzergruppen und Nutzerinformationen werden bei jedem Login automatisch abge-
glichen, um die konsistente Datenpflege und die Einhaltung des kundenspezifischen Berechtigungs-
konzeptes zu gewährleisten.
Abb. 2: EventionÒ Rechte- und Rollenkonzept
© 2019 Nexcom IT-Services GmbH Deutschland, alle Rechte vorbehalten. Seite 19Sicherheit & Datenschutz
Stand: 2019
7 Evention: Standard-konforme Architektur
Evention® basiert technologisch auf Microsoft Standard-Technologie und bietet damit eine hohe An-
wendungssicherheit und Integrationsfähigkeit in kundenspezifische Infrastrukturen, zum Beispiel mit
LDAP-Anbindung. Über die generische API kommuniziert Evention mit sämtlichen externen Systemen.
Per LDAP/SAML können kundeneigene Nutzerverzeichnisse angebunden werden, über SOAP/REST
Drittsysteme wie CRM oder ERP und via SMTP externe Mailserver.
Abb. 3: EventionÒ Architektur
© 2019 Nexcom IT-Services GmbH Deutschland, alle Rechte vorbehalten. Seite 20Sie können auch lesen
