Sicherheitskonzept
Sicherheitskonzept#
Für den sicheren Betrieb der Software SASKIA.H2R und der damit verbundenen IT-Systeme und IT-Anwendungen ist es erforderlich, die üblichen IT-Standards z.B. zur Datensicherheit, Kennwortregelungen oder Protokollierung einzuhalten.
Durch eine geeignete Benutzerkonten- und Rechteverwaltung wird sichergestellt, dass nur diejenigen Personen Zugriff auf IT-Systeme haben, die aufgrund ihrer Aufgaben dazu berechtigt sind.
Alle Abläufe und Vorgänge, die das IT-System SASKIA.H2R berühren, sind so zu gestalten, dass das angestrebte Niveau der Informationssicherheit erreicht bzw. beibehalten wird.
Informationssicherheit sorgt dafür, dass die Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit gewahrt werden. Vertraulichkeit schützen bedeutet, die IT-Systeme und Anwendungen so zu sichern, dass nur autorisierte Personen auf die verarbeiteten Daten Zugriff haben. Integrität schützt die Daten vor Manipulationen. Verfügbarkeit hingegen sorgt dafür, dass Daten im gewünschten Zeitraum zur Verfügung stehen und darauf zugegriffen werden kann.
Mit regelmäßigen Datensicherungen werden Schäden durch Ausfälle von Datenträgern, Schadsoftware oder Manipulationen an Datenbeständen nicht verhindert, deren Auswirkungen können aber erheblich minimiert werden. Da im Umfeld des Fachverfahrens SASKIA.H2R für Systemadministratoren grundsätzlich eine Vielzahl von Möglichkeiten bestehen, Sicherheitskopien eines Systems zu erstellen und eventuell mißbräuchlich zu verwenden, sind alle zu sichernden Daten und Anwendungen aufzulisten und einem Verantwortlichen zuzuordnen. Außerdem sollten für diese Arbeiten unbedingt zusätzliche, organisatorische Regelungen und ergänzende Anweisungen (z.B. Vier-Augen-Prinzip) getroffen werden.
Dies trifft insbesondere auch auf die Erstellung bzw. Aktualisierung von Test- und Doppelmandanten zu. Hier wird die ausschließliche Nutzung des internen ServerCopyTools empfohlen, um Testdatenbestände intern gesondert zu kennzeichnen und teilweise zu anonymisieren. Dadurch wird auch gleichzeitig für das Testpersonal eine deutliche Unterscheidung von Produktiv- und Testumgebung ermöglicht.
Bei der normalen Nutzung von SASKIA.H2R darf nicht mit administrativen Rechten (Admin-Benutzer) gearbeitet werden. Dies ist nur zu administrativen Tätigkeiten zulässig, die unbedingt von normalen Aufgaben getrennt durchzuführen sind. Um sicherzustellen, dass nur Befugte auf Systeme und Informationen zugreifen können, ist es erforderlich, dass sich Nutzer per Passwort authentifizieren. Die Benutzer der Software SASKIA.H2R sind über alle dafür notwendigen Regelungen und deren Anwendung explizit zu informieren.
Auf allen IT-Systemen müssen für die Betriebssysteme sowie für alle installierten Treiber und Programme zeitnah die jeweils hierfür veröffentlichten sicherheitsrelevanten Updates und Patches eingespielt werden.
Verarbeitungstätigkeiten#
Für die aus Sicht des Datenschutzes erforderliche Erstellung eines Verfahrensverzeichnisses ("Verzeichnis der Verarbeitungstätigkeiten" nach Art. 30 DSGVO), auch Verarbeitungsverzeichnis genannt, stellt SASKIA nachfolgend relevante Basisinformationen zu SASKIA.H2R bereit: