Trust Center
Technisch-organisatorische Maßnahmen (TOM)
Nach DSGVO Art. 32 getroffene technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten – strukturiert entlang der sieben Kontrollbereiche.
Note: This page is an implementation aid and does not replace legal advice or binding supervisory interpretation.
Management-Zusammenfassung
- Zutrittskontrolle: Physische Sicherheit von Serverraeumen, Schließsystemen und Besucherregelung.
- Zugangskontrolle: Multi-Faktor-Authentifizierung, Identity- & Access-Management und strenge Password Policy.
- Zugriffskontrolle: Rollenbasierte Berechtigungen, Need-to-know-Prinzip und lueckenloses Audit Logging.
- Weitergabekontrolle: Ende-zu-Ende-Verschluesselung, TLS, VPN und Datenklassifizierung fuer sichere Uebertragung.
- Verfuegbarkeitskontrolle: Backup-Strategien, Redundanz, Disaster Recovery Plan und Business Continuity Management.
Zutrittskontrolle (Physischer Zugang)
- Serverraume mit Zutrittskontrollsystem (elektronisches Schließsystem, Transponderkarten, biometrische Faktoren).
- 24/7 Videoueberwachung der Zutrittspunkte und Alarmanlage bei unbefugtem Eindringen.
- Besucherregelung mit Anmeldepflicht, Begleitung waehrend des Aufenthalts und Besucherausweis.
- Zutrittsberechtigungen werden rollenbasiert vergeben und quartalsweise auf Aktualitaet geprueft.
- Brandschutz- und Klimatisierungssysteme mit getrennter Ueberwachung und Fruehwarnfunktion.
- Wartungs- und Fremdpersonal nur mit Begleitung durch berechtigte Mitarbeitende.
Zugangskontrolle (Logischer Zugang)
- Multi-Faktor-Authentifizierung (MFA) fuer alle externen und privilegierten Zugaenge sowie Admin-Umgebungen.
- Identity- & Access-Management (IAM) mit zentralem Benutzerverzeichnis und automatisierter Provisionierung.
- Password Policy mit Mindestlaenge 14 Zeichen, Komplexitaetsvorgaben und 90-Tage-Rotation fuer Privilegierte.
- Session Management mit automatischem Timeout nach 15 Minuten Inaktivitaet und Sperrung nach Fehlversuchen.
- Single Sign-On (SSO) ueber SAML/OIDC mit zentraler Berechtigungssteuerung und On-/Offboarding.
- Kontinuierliche Ueberpruefung und Bereinigung inaktiver Konten sowie privilegierter Zugriffe.
Zugriffskontrolle (Datenzugriff)
- Rollenbasierte Zugriffskontrolle (RBAC) mit granularen Berechtigungen auf Datenbank-, Applikations- und Dateiebene.
- Need-to-know-Prinzip: Zugriff nur auf die fuer die Aufgabenerfuellung erforderlichen Daten.
- Lueckenloses Audit Logging aller Zugriffe auf personenbezogene Daten mit Aenderungsnachweis.
- Trennung von Administrations- und Fachbereichen mit Vieraugenprinzip fuer kritische Aktionen.
- Automatisierte Berechtigungsreviews alle 90 Tage mit Eskalation bei Abweichungen.
- Datenbank-Verschluesselung auf Spaltenebene fuer besonders schuetzenswerte Datenkategorien.
Weitergabekontrolle (Übertragungssicherheit)
- Ende-zu-Ende-Verschluesselung (E2EE) fuer Daten in Transit mittels TLS 1.3 auf allen Schnittstellen.
- VPN-Pflicht fuer externe Zugriffe auf interne Systeme und Verwaltungsumgebungen.
- Datenklassifizierung nach Vertraulichkeitsstufen mit entsprechender Transport- und Speichervorgabe.
- Elektronischer Datenaustausch nur ueber gesicherte Protokolle (SFTP, HTTPS, AS4).
- Verschluesselung at-rest mit AES-256 fuer Datenbanken, Backups und Dateisysteme.
- Richtlinien zur Weitergabe an Dritte inkl. Auftragsverarbeitungsvertrag (AVV) und Datenbestandsliste.
Eingabekontrolle (Protokollierung & Nachvollziehbarkeit)
- Zentrale Log-Aggregation mit Echtzeit-Monitoring und Alarmierung bei auffaelligen Ereignissen.
- Nachvollziehbarkeit von Dateneingabe, -aenderung und -loeschung mit Zeitstempel und Benutzerkennung.
- Change Tracking fuer System-, Konfigurations- und Berechtigungsaenderungen mit Genehmigungsstatus.
- Aufbewahrung der Logdaten fuer 12 Monate mit Zugriffsschutz und Integritaetssicherung.
- Regelmaessige Pruefung der Log-Integritaet mittels kryptografischer Pruefsummen (Log Hashing).
- SIEM-basierte Korrelation von Eingabeereignissen mit definierten Alarmierungsschwellen.
Verfuegbarkeitskontrolle (Betriebssicherheit)
- Taegliche Voll-Backups mit versionsbasiertem Aufbewahrungskonzept (GFS-Schema).
- Georedundante Rechenzentren mit Active-Passive-Betrieb und automatischem Failover.
- Disaster Recovery Plan (DRP) mit jaehrlicher Volluebung und dokumentiertem Wiederanlaufverfahren.
- Business Continuity Management (BCM) mit definierten RPO- und RTO-Werten fuer alle kritischen Systeme.
- USV-Anlagen und Notstromversorgung fuer mindestens 4 Stunden Vollbetrieb.
- Verfuegbarkeits-Monitoring (SLA 99,9 %) mit automatischer Alarmierung und Eskalationsprozess.
Trennungsgebot (Mandanten- & Umgebungstrennung)
- Mandantentrennung auf Applikationsebene mittels Tenant-ID-Isolation und logischer Zugriffsschranken.
- Trennung von Entwicklungs-, Test- und Produktivumgebungen mit strengen Deployment-Regeln.
- Netzwerksegmentierung in Security Zonen (DMZ, Internal, Restricted) mit Firewall-Regeln.
- Keine Verwendung von Produktivdaten in Test- oder Entwicklungsumgebungen (Maskierung/Anonymisierung).
- Container-Isolation mit Kubernetes Namespaces und Network Policies fuer Mandanten-Trennung.
- Jaehrliche Pruefung der Trennung durch Penetrationstests und Architektur-Reviews.
ISO 27001 Verbindung
ISO/IEC 27001:2022 stellt die Kontrollanker für technisch-organisatorische Maßnahmen bereit.
- A.5.9 Bestandsverzeichnis von Informationen
- A.5.31 Richtlinien für Datenschutz und Datensicherheit
- A.8.2 Zugriffsberechtigungen
- A.8.3 Zugriffsrechtevergabe
- A.8.5 Geheimhaltungsvereinbarungen
- A.8.10 Umgang mit Datenträgern
- A.8.24 Einsatz von Kryptographie
- A.8.29 Sicherheit in der Entwicklung
ISO/IEC 27001:2022 dient als Kontrollanker und Management-System-Referenz. Die Verbindung zu ISO 27001 unterstützt integrierte Resilienz- und Sicherheitsprogramme.
Reifegrad
-
1 Initial
Ad-hoc-Ansätze, keine formalen Prozesse
-
2 Defined
Formale Prozesse definiert, aber nicht durchgängig umgesetzt
-
3 Implemented
Prozesse vollständig umgesetzt und dokumentiert
-
4 Monitored
Prozesse werden überwacht und gemessen
-
5 Optimized
Kontinuierliche Verbesserung und Anpassung