Allgemein¶
| Verantwortliche Person | |
|---|---|
| Nächstes Review |
Checkliste¶
Die folgende Checkliste ist Bestandteil des Dokuments Technische und organisatorische Maßnahmen (TOM), welches an Kunden und Interessenten herausgegeben wird. Aus diesem Grund dürfen in dieser Checkliste keine sensiblen Informationen hinterlegt werden. Nicht relevante Maßnahmen sollten nach der ersten Bewertung aus der Auflistung gestrichen werden. Die nachfolgende Aufzählung dient als Ausfüllhilfe und hat in keinem Fall Anspruch auf Vollständigkeit und impliziert auch bei Vorhandensein aller Maßnahmen nicht, dass ein ausreichender gem. Art 32 DS-GVO vorgeschriebener Stand der Technik erreicht ist.
[!info] Die Zugangskontrolle soll sicherstellen, dass nur berechtigte Personen Zugang zu personenbezogenen Daten haben und keine unbefugte Systembenutzung stattfindet.
Technische Maßnahmen¶
| Maßnahme | Status | Kurzbeschreibung |
|---|---|---|
| Authentifizierung mit starkem Benutzer-Passwort | umgesetztGreen / nicht relevant | Benutzer müssen starke, komplexe Passwörter verwenden, die regelmäßig geändert werden, um den Zugang zu Systemen und Daten zu sichern. |
| Authentifizierung mit biometrischen Daten | umgesetztGreen / nicht relevant | Der Zugang wird durch die Verwendung biometrischer Daten wie Fingerabdruck, Gesichtserkennung oder Iris-Scan gesichert, wodurch eine hohe Sicherheit und Benutzerfreundlichkeit gewährleistet wird. |
| Mehr-Faktor-Authentifizierung | umgesetztGreen / nicht relevant | Zusätzlich zur Passwortauthentifizierung wird ein weiterer Faktor wie ein SMS-Code, eine Authenticator-App oder ein Hardware-Token verwendet, um die Sicherheit des Zugangs weiter zu erhöhen. |
| Einsatz von Firewalls | umgesetztGreen / nicht relevant | Firewalls überwachen und kontrollieren den ein- und ausgehenden Netzwerkverkehr basierend auf vordefinierten Sicherheitsregeln, um unautorisierten Zugriff und Angriffe zu verhindern. |
| Einsatz von Mobile Device Management | umgesetztGreen / nicht relevant | Mobile Device Management (MDM) Tools verwalten und sichern mobile Geräte, indem sie Richtlinien durchsetzen, Apps kontrollieren und Daten verschlüsseln. |
| Einsatz von VPN–Technologie | umgesetztGreen / nicht relevant | Virtuelle private Netzwerke (VPN) ermöglichen sichere, verschlüsselte Verbindungen für Remote-Mitarbeiter, um sicher auf das Firmennetzwerk zuzugreifen. |
| Gehäuseverriegelungen | umgesetztGreen / nicht relevant | Physische Verriegelungen an Server- und Computergehäusen verhindern unbefugten physischen Zugriff auf die Hardware und damit auf die darin gespeicherten Daten. |
| Sperren von externen Schnittstellen (z.B. USB-Anschlüsse) | umgesetztGreen / nicht relevant | Die Nutzung externer Schnittstellen wie USB-Anschlüsse wird gesperrt oder eingeschränkt, um die Gefahr von Datendiebstahl oder Malware-Infektionen zu minimieren. |
| Einsatz von Anti-Viren-Software | umgesetztGreen / nicht relevant | Anti-Viren-Software schützt Systeme vor Schadsoftware, indem sie regelmäßig Virenscans durchführt und Bedrohungen erkennt und beseitigt. |
| Einsatz automatischer Bildschirmschoner | umgesetztGreen / nicht relevant | Automatische Bildschirmschoner sperren den Bildschirm nach einer bestimmten Inaktivitätszeit und erfordern eine erneute Authentifizierung, um den Zugriff fortzusetzen. |
| Sonstige Maßnahmen? | umgesetztGreen / nicht relevant |
Organisatorische Maßnahmen¶
| Maßnahme | Status | Kurzbeschreibung |
|---|---|---|
| Benutzerberechtigungsmanagement | umgesetztGreen / nicht relevant | Verwaltung und Kontrolle der Zugriffsrechte von Benutzern, um sicherzustellen, dass jeder Benutzer nur auf die Daten und Systeme zugreifen kann, die für seine Aufgaben erforderlich sind. |
| Erstellen von Benutzerprofilen | umgesetztGreen / nicht relevant | Anlegen von Benutzerprofilen mit definierten Rechten und Rollen, die den individuellen Anforderungen und Verantwortlichkeiten der Benutzer entsprechen. |
| Definierte Passwortregeln | umgesetztGreen / nicht relevant | Festlegung und Durchsetzung von Passwortregeln, wie Mindestlänge, Komplexität und regelmäßige Passwortänderungen, um die Sicherheit zu erhöhen. |
| Passwortfreigabeverfahren | umgesetztGreen / nicht relevant | Verfahren zur sicheren Genehmigung und Weitergabe von Passwörtern, um sicherzustellen, dass nur berechtigte Personen Zugriff erhalten. |
| Passwortrücksetzungsverfahren | umgesetztGreen / nicht relevant | Sicheres Verfahren für das Zurücksetzen von Passwörtern, das Identitätsprüfungen beinhaltet, um unbefugten Zugriff zu verhindern. |
| Regelmäßige Überprüfung der Berechtigungen | umgesetztGreen / nicht relevant | Periodische Überprüfung und Aktualisierung der Benutzerberechtigungen, um sicherzustellen, dass Zugriffsrechte den aktuellen Aufgaben und Rollen entsprechen. |
| Sorgfältige Auswahl von Reinigungspersonal | umgesetztGreen / nicht relevant | Auswahl und Überprüfung des Reinigungspersonals, um sicherzustellen, dass vertrauenswürdige Personen Zugang zu sensiblen Bereichen erhalten. |
| Sorgfältige Auswahl von Sicherheitspersonal | umgesetztGreen / nicht relevant | Auswahl und Überprüfung des Sicherheitspersonals, um sicherzustellen, dass qualifizierte und vertrauenswürdige Personen für die Sicherheit des Unternehmens verantwortlich sind. |
| Sonstige Maßnahmen? | umgesetztGreen / nicht relevant |
Beschreibung und Nachweise¶
[!note]
Die folgenden Beschreibungen und Nachweise sind nur für interne Zwecke bestimmt und dürfen nicht an Kunden und Interessenten rausgegeben werden. Maßnahmen, welche in der Checklist als nicht relevant bewertet worden sind, können auch aus der folgenden Auflistung gestrichen werden.
Technische Maßnahmen¶
| Maßnahme | Status | Beschreibung der Umsetzung / Nachweise | Maßnahmen |
|---|---|---|---|
| Authentifikation mit Benutzer–Passwort | umgesetztGreen / teilweise umgesetztYellow / offenRed / nicht relevant | ||
| Authentifikation mit biometrischen Daten | umgesetztGreen / teilweise umgesetztYellow / offenRed / nicht relevant | ||
| Zwei–Faktor–Authentifizierung | umgesetztGreen / teilweise umgesetztYellow / offenRed / nicht relevant | ||
| Einsatz von Firewalls | umgesetztGreen / teilweise umgesetztYellow / offenRed / nicht relevant | ||
| Einsatz von Mobile Device Management | umgesetztGreen / teilweise umgesetztYellow / offenRed / nicht relevant | ||
| Einsatz von VPN–Technologie | umgesetztGreen / teilweise umgesetztYellow / offenRed / nicht relevant | ||
| Gehäuseverriegelungen | umgesetztGreen / teilweise umgesetztYellow / offenRed / nicht relevant | ||
| Sperren von externen Schnittstellen (z.B. USB–Anschlüsse) | umgesetztGreen / teilweise umgesetztYellow / offenRed / nicht relevant | ||
| Einsatz von Anti–Viren–Software | umgesetztGreen / teilweise umgesetztYellow / offenRed / nicht relevant | ||
| Einsatz automatischer Bildschirmschoner | umgesetztGreen / teilweise umgesetztYellow / offenRed / nicht relevant | ||
| Sonstige Maßnahmen? | umgesetztGreen / teilweise umgesetztYellow / offenRed / nicht relevant |
Organisatorische Maßnahmen¶
| Maßnahme | Status | Beschreibung der Umsetzung / Nachweise | Maßnahmen |
|---|---|---|---|
| Benutzerberechtigungsmanagement | umgesetztGreen / teilweise umgesetztYellow / offenRed / nicht relevant | ||
| Erstellen von Benutzerprofilen | umgesetztGreen / teilweise umgesetztYellow / offenRed / nicht relevant | ||
| Definierte Passwortregeln | umgesetztGreen / teilweise umgesetztYellow / offenRed / nicht relevant | ||
| Passwortfreigabeverfahren | umgesetztGreen / teilweise umgesetztYellow / offenRed / nicht relevant | ||
| Passwortrücksetzungsverfahren | umgesetztGreen / teilweise umgesetztYellow / offenRed / nicht relevant | ||
| Regelmäßige Überprüfung der Berechtigungen | umgesetztGreen / teilweise umgesetztYellow / offenRed / nicht relevant | ||
| Sorgfältige Auswahl von Reinigungspersonal | umgesetztGreen / teilweise umgesetztYellow / offenRed / nicht relevant | ||
| Sorgfältige Auswahl von Sicherheitspersonal | umgesetztGreen / teilweise umgesetztYellow / offenRed / nicht relevant | ||
| Sonstige Maßnahmen? | umgesetztGreen / teilweise umgesetztYellow / offenRed / nicht relevant |
Änderungshistorie¶
Änderungshistorie¶
| Datum | Autor | Änderung |
|---|---|---|
| 2026-02-15 | Visitrans | Execute SPEC-04: Enrich 290 control files with Self-Assessment YAML fields |
| 2026-02-15 | Visitrans | Execute SPEC-02: YAML frontmatter for 646 files, link conversion, validation |
| 2026-02-15 | Visitrans | Fix table conversion: colspan expansion, header promotion, line breaks |
| 2026-02-14 | Visitrans | Execute SPEC-01: Bulk-Export 646 Confluence pages to Obsidian vault |