§ 1 Zugriffskontrolle
- Benutzerkonten mit individuellen Zugangsdaten
- Einsatz von Multi-Faktor-Authentifizierung (MFA), sofern technisch möglich
- Rollen- und Rechtekonzept
- Prinzip der minimalen Rechtevergabe
- Deaktivierung inaktiver Accounts
§ 2 Zugangskontrolle (physisch)
Sofern Server vom Auftragnehmer betrieben werden:
- Rechenzentren mit Zutrittskontrolle
- Videoüberwachung
- Zugang nur für autorisierte Personen
Bei Hosting über Drittanbieter gelten deren Sicherheitsstandards.
§ 3 Zugriffsschutz / Authentifizierung
- Verschlüsselte Passwortspeicherung (Hashing nach Stand der Technik)
- TLS-Verschlüsselung (HTTPS)
- Session-Management mit Ablaufmechanismen
- Schutz gegen typische Angriffsvektoren (z. B. Brute-Force)
§ 4 Weitergabekontrolle
- TLS-verschlüsselte Datenübertragung
- Zugriff auf Daten nur für berechtigte Personen
- Keine Weitergabe an Dritte ohne vertragliche Grundlage
§ 5 Eingabekontrolle / Protokollierung
- Login-Protokolle
- Admin-Logs
- Änderungsprotokolle (Audit-Trail), sofern implementiert
- Zeitstempel und Benutzer-ID bei relevanten Änderungen
§ 6 Datensicherung (sofern vereinbart)
- Automatisierte Backups (z. B. täglich)
- Aufbewahrungsdauer (Retention) gemäß Vertrag
- Getrennte Backup-Speicherung
- Wiederherstellungstest (optional bei Managed-Verträgen)
Der Auftraggeber bleibt verpflichtet, eigene Sicherungsmaßnahmen vorzuhalten, sofern kein vollständiger Managed-Backup-Service vereinbart wurde.
§ 7 Trennungskontrolle
- Logische Mandantentrennung bei Multi-Tenant-Systemen
- Datenbankbasierte Trennung
- Getrennte Speicherbereiche
§ 8 Patch- und Update-Management
- Regelmäßige Sicherheitsupdates
- Monitoring sicherheitsrelevanter Komponenten
- Dokumentierte Updatezyklen
§ 9 Incident-Response
Im Fall eines Sicherheitsvorfalls:
- Dokumentation des Vorfalls
- Bewertung des Risikos
- Information des Auftraggebers
- Abstimmung weiterer Maßnahmen
Die Meldepflicht gegenüber Aufsichtsbehörden obliegt dem Verantwortlichen (Auftraggeber), sofern nicht anders vereinbart.