(IT)-Sicherheitshandlungsleitlinien für Systembetreiber und ... - Audi
(IT)-Sicherheitshandlungsleitlinien für Systembetreiber und ... - Audi
(IT)-Sicherheitshandlungsleitlinien für Systembetreiber und ... - Audi
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Informationstechnik (<strong>IT</strong>)-<strong>Sicherheitshandlungsleitlinien</strong> <strong>für</strong><br />
<strong>Systembetreiber</strong> <strong>und</strong> Administratoren<br />
Dokumenthistorie:<br />
Version Name Org.-Einheit Datum Bemerkung<br />
1.0 Fröhlich,<br />
Hafner<br />
<strong>Audi</strong> I/GO,<br />
VW K-GOT<br />
20.10.2006
<strong>IT</strong>-<strong>Sicherheitshandlungsleitlinien</strong> <strong>für</strong> <strong>Systembetreiber</strong> <strong>und</strong> Administratoren Status: Freigegeben<br />
Inhaltsverzeichnis:<br />
1. Zweck ........................................................................................................................................................... 3<br />
2. Kontext ........................................................................................................................................................ 3<br />
3. Geltungsbereich ......................................................................................................................................... 4<br />
4. Einstufung <strong>und</strong> Kontrolle der Werte ........................................................................................................ 4<br />
5. Personelle Sicherheit ................................................................................................................................. 4<br />
6. Physische <strong>und</strong> umgebungsbezogene Sicherheit ..................................................................................... 4<br />
7. Management der Kommunikation <strong>und</strong> des Betriebs .............................................................................. 5<br />
7.1. Betriebsverfahren <strong>und</strong> –verantwortlichkeiten ......................................................................... 5<br />
7.1.1. Dokumentierte Betriebsverfahren ........................................................................................... 5<br />
7.1.2. Kontrolle von Veränderungen................................................................................................... 5<br />
7.1.3. Verfahren <strong>für</strong> das Management von Vorfällen ........................................................................ 5<br />
7.1.4. Pflichtentrennung ..................................................................................................................... 5<br />
7.1.5. Trennung von Entwicklungs- <strong>und</strong> Betriebsanlagen ................................................................. 5<br />
7.1.6. Externe Verwaltung von Geräten ............................................................................................. 6<br />
7.2. Systemplanung <strong>und</strong> -abnahme................................................................................................. 6<br />
7.3. Schutz vor bösartiger Software ................................................................................................ 6<br />
7.4. Haushaltsorganisation .............................................................................................................. 6<br />
7.4.1. Back-up von Informationen ...................................................................................................... 6<br />
7.4.2. Bedienerprotokolle .................................................................................................................... 7<br />
7.4.3. Fehlerprotokoll .......................................................................................................................... 7<br />
7.5. Netzwerkmanagement ............................................................................................................. 7<br />
7.6. Sicherheit von Systemdokumentation ..................................................................................... 7<br />
7.7. Austausch von Informationen <strong>und</strong> Software ........................................................................... 7<br />
8. Zugangskontrolle ....................................................................................................................................... 8<br />
8.1. Geschäftsanforderungen an die Zugangskontrolle ................................................................. 8<br />
8.2. Verwaltung der Zugriffsrechte der Benutzer ........................................................................... 8<br />
8.3. Netzzugriffskontrolle ................................................................................................................ 8<br />
8.4. Kontrolle des Betriebssystemzugriffs ...................................................................................... 9<br />
8.5. Zugriffskontrolle <strong>für</strong> Anwendungen ........................................................................................ 9<br />
8.6. Überwachung des Systemzugriffs <strong>und</strong> der Systembenutzung ............................................... 9<br />
8.7. Mobile Computing ..................................................................................................................... 9<br />
9. Systementwicklung <strong>und</strong> –wartung ........................................................................................................... 9<br />
10. Management des kontinuierlichen Geschäftsbetriebs ......................................................................... 10<br />
10.1. Aspekte zur Aufrechterhaltung des Geschäftsbetriebs ........................................................ 10<br />
10.1.1. Prozess <strong>für</strong> das Management des kontinuierlichen Geschäftsbetriebs ............................... 10<br />
10.1.2. Aufrechterhaltung des Geschäftsbetriebs <strong>und</strong> Auswirkungsanalyse ................................... 10<br />
10.1.3. Verfassen <strong>und</strong> Implementieren von Plänen zur Aufrechterhaltung des Geschäftsbetriebs<br />
.................................................................................................................................................. 10<br />
10.1.4. Rahmen <strong>für</strong> die Pläne zur Aufrechterhaltung des Geschäftsbetriebs .................................. 11<br />
10.1.5. Testen, Aufrechterhaltung <strong>und</strong> erneute Analyse von Plänen zur Gewährleistung des<br />
kontinuierlichen Geschäftsbetriebs ....................................................................................... 11<br />
11. Einhaltung der Verpflichtungen ............................................................................................................. 11<br />
11.1. Einhaltung gesetzlicher Verpflichtungen .............................................................................. 11<br />
11.2. Überprüfung der Sicherheitspolitik <strong>und</strong> technischen Normerfüllung ................................. 11<br />
11.3. Überlegungen zum Systemaudit ............................................................................................ 11<br />
12. Verantwortlichkeit ................................................................................................................................... 12<br />
Anhang: ................................................................................................................................................................ 13<br />
Seite 2 von 14
<strong>IT</strong>-<strong>Sicherheitshandlungsleitlinien</strong> <strong>für</strong> <strong>Systembetreiber</strong> <strong>und</strong> Administratoren Status: Freigegeben<br />
1. Zweck<br />
Die <strong>für</strong> die Nutzung von Informationen <strong>und</strong> Kommunikationsgeräten (z. B. Personalcomputer,<br />
Workstations einschließlich mobiler Rechner wie Notebooks, PDAs) zu beachtenden <strong>IT</strong>-<br />
Sicherheitsregelungen <strong>für</strong> <strong>Systembetreiber</strong> <strong>und</strong> Administratoren sind in diesen <strong>IT</strong>-<br />
<strong>Sicherheitshandlungsleitlinien</strong> zusammengefasst. Für den Schutz von Speicherprogrammierbaren<br />
Steuerungen (SPS) <strong>und</strong> Robotersteuerungen gelten innerhalb dieser Handlungsleitlinien ausschließlich die<br />
Regelungen im Anhang, Ziff. 1.<br />
Die <strong>IT</strong>-Sicherheitsregelungen dienen dem Schutz der Vertraulichkeit, Integrität <strong>und</strong> Verfügbarkeit von<br />
Informationen sowie der Wahrung der Rechte <strong>und</strong> Interessen des Unternehmens <strong>und</strong> aller natürlichen <strong>und</strong><br />
juristischen Personen, die mit unserer Konzerngesellschaft in geschäftlicher Beziehung stehen bzw. <strong>für</strong><br />
diese arbeiten.<br />
Die Basis <strong>für</strong> dieses Dokument stellt die <strong>IT</strong>-Sicherheitspolitik dar. Die Gr<strong>und</strong>sätze der <strong>IT</strong>-Sicherheitspolitik<br />
werden <strong>für</strong> die Zielgruppe <strong>Systembetreiber</strong> <strong>und</strong> Administratoren konkretisiert. Die Struktur dieses<br />
Dokumentes basiert auf dem internationalen Standard ISO/IEC 17799.<br />
Dieses Dokument steht über das Intranet zur Verfügung (siehe Anhang, Ziff. 2).<br />
Die Bekanntgabe von Informationen hinsichtlich Änderungen bzw. Aktualisierungen erfolgen<br />
ausschließlich über das Intranet (siehe Anhang, Ziff. 2).<br />
2. Kontext<br />
Folgende Übersicht zeigt die Einordnung der <strong>IT</strong>-<strong>Sicherheitshandlungsleitlinien</strong> in das <strong>IT</strong>-<br />
Sicherheitsregelwerk:<br />
<strong>IT</strong>-Sicherheitspolitik<br />
Definition der gr<strong>und</strong>legenden Ziele, Strategien <strong>und</strong><br />
Verantwortlichkeiten zur Gewährleistung der <strong>IT</strong>-Sicherheit<br />
<strong>IT</strong>-<strong>Sicherheitshandlungsleitlinien</strong><br />
Ausgestaltung der Politik in organisatorische Anweisungen <strong>für</strong><br />
einzelne Benutzergruppen<br />
<strong>IT</strong>-Sicherheitsregelungen<br />
Spezifikation der organisatorischen Standards im<br />
technischen Umfeld <strong>und</strong> Beschreibung von technischen<br />
Funktionen <strong>und</strong> Prozessen<br />
Seite 3 von 14<br />
<strong>IT</strong>-Sicherheitsregelwerk<br />
Für alle<br />
Nur <strong>für</strong><br />
eingeschränkten<br />
Nutzerkreis
<strong>IT</strong>-<strong>Sicherheitshandlungsleitlinien</strong> <strong>für</strong> <strong>Systembetreiber</strong> <strong>und</strong> Administratoren Status: Freigegeben<br />
3. Geltungsbereich<br />
Die Handlungsleitlinien gelten <strong>für</strong> die AUDI AG <strong>und</strong> sind im gesamten <strong>Audi</strong> Konzern anzuwenden <strong>und</strong> durch<br />
konkrete <strong>IT</strong>-Regelungen im Einzelfall auszugestalten.<br />
4. Einstufung <strong>und</strong> Kontrolle der Werte<br />
Betriebsnotwendige <strong>IT</strong>-Systeme (siehe Anhang, Ziff. 3) sind in einem Verzeichnis zu erfassen. Die<br />
Systemverantwortung ist einer Organisationseinheit, einem Gremium oder Beauftragten zuzuordnen.<br />
Als betriebsnotwendig sind <strong>IT</strong>-Systeme einzustufen, deren Funktionsstörung den Fortbestand des<br />
Unternehmens ernsthaft gefährden könnte oder deren Wiederherstellung bzw. Wiederbeschaffung einen<br />
hohen Zeitaufwand <strong>und</strong>/oder hohe Kosten erfordern würde. Ferner sind Originale von wichtigen Urk<strong>und</strong>en<br />
(z. B. Kaufverträge, Versicherungspolicen, Lizenzen) in diese Kategorie einzustufen.<br />
Dieses Verzeichnis der erfassten <strong>IT</strong>-Systeme hat mindestens die folgenden Angaben zu enthalten:<br />
Beschreibung der <strong>IT</strong>-Systeme einschließlich ihrer Schnittstellen zu anderen <strong>IT</strong>-Systemen,<br />
Verantwortliche Stelle oder Person,<br />
Bedeutung der <strong>IT</strong>-Systeme <strong>für</strong> die Geschäftsprozesse,<br />
Einsatzort (physisch),<br />
Einsatzbereich (fachlich),<br />
Klassifizierung der Daten <strong>und</strong> ggf. Hinweise auf besondere Schutzerfordernisse <strong>und</strong> -maßnahmen,<br />
Vorhandensein personenbezogener Daten.<br />
5. Personelle Sicherheit<br />
Nach der Bearbeitung von <strong>IT</strong>-Sicherheitsvorfällen, <strong>IT</strong>-Sicherheitsschwachstellen oder <strong>IT</strong>sicherheitsrelevanten<br />
Funktionsstörungen sind Erkenntnisse über mögliche Auswirkungen auf andere<br />
Geschäftsprozesse oder Sicherheitsmaßnahmen an den Vorgesetzten <strong>und</strong> an die <strong>IT</strong>-Sicherheitsorganisation<br />
(siehe Anhang, Ziff. 4) zu melden.<br />
Sind diese Vorfälle gravierend oder treten sie öfter auf, so sind sie im Rahmen der Qualitätssicherung<br />
kontinuierlich zu prüfen, um ihre Entstehung in Zukunft möglichst zu verhindern <strong>und</strong> den Umgang mit<br />
diesen Ereignissen zu verbessern.<br />
6. Physische <strong>und</strong> umgebungsbezogene Sicherheit<br />
Betriebsnotwendige <strong>IT</strong>-Systeme sind vor Stromausfall oder –schwankungen zu schützen (z. B. durch<br />
unterbrechungsfreie Stromversorgung, durch Notstromaggregat).<br />
Unmittelbar nach der Installation einer Daten- <strong>und</strong> Stromnetzkomponente sind vorhandene<br />
systemspezifische Schutzmechanismen (z. B. Passwortschutz) zu aktivieren, um unzulässige<br />
Manipulationen zu verhindern oder zumindest möglichst frühzeitig erkennen zu können.<br />
Der Betreiber hat u. a. durch Wartung der Geräte sicherzustellen, dass die Verfügbarkeit, Vertraulichkeit<br />
<strong>und</strong> Integrität von Daten gewährleistet ist.<br />
Vor der Entsorgung oder Wiederverwendung von Geräten sind alle darauf enthaltenen Informationen<br />
nachhaltig zu löschen.<br />
Seite 4 von 14
<strong>IT</strong>-<strong>Sicherheitshandlungsleitlinien</strong> <strong>für</strong> <strong>Systembetreiber</strong> <strong>und</strong> Administratoren Status: Freigegeben<br />
7. Management der Kommunikation <strong>und</strong> des Betriebs<br />
7.1. Betriebsverfahren <strong>und</strong> –verantwortlichkeiten<br />
7.1.1. Dokumentierte Betriebsverfahren<br />
Anweisungen, die <strong>für</strong> den Betrieb eines <strong>IT</strong>-Systems zu berücksichtigen sind, sind vom Betreiber zu erstellen<br />
<strong>und</strong> aktuell zu halten, z. B. in Form von Betriebshandbüchern. Bei Veröffentlichungen ist darauf zu achten,<br />
dass keine sicherheitsrelevanten Fakten (z. B. Firewallkonfiguration) an unberechtigte Dritte bekannt<br />
gemacht werden. Die Dokumentation ist gemäß gesellschaftsspezifischer Regelungen (siehe Anhang, Ziff.<br />
5) zu archivieren.<br />
7.1.2. Kontrolle von Veränderungen<br />
Änderungen an produktiven <strong>IT</strong>-Systemen müssen über ein definiertes Verfahren geplant, getestet,<br />
genehmigt <strong>und</strong> dokumentiert werden, bevor sie im produktiven Betrieb umgesetzt werden.<br />
Änderungsabsichten (change requests) sind schriftlich zu dokumentieren <strong>und</strong> von der verantwortlichen<br />
Stelle (z. B. Änderungen an Anwendungssytemen durch den Informationseigentümer, Änderungen an der<br />
Infrastruktur durch den Betreiber) zu genehmigen.<br />
Die Auswirkungen der geplanten Änderungen sind an einem Testsystem zu untersuchen. Das Testsystem ist<br />
in Abwägung des potentiellen Risikos mit dem da<strong>für</strong> erforderlichen Aufwand aufzubauen. Im Notfall kann<br />
vom Betreiber ein beschleunigtes Verfahren im <strong>IT</strong>-Notfallplan (siehe Kapitel 10) definiert werden. Dabei ist<br />
sicherzustellen, dass durch die Änderungen keine Sicherheitsmaßnahmen unterlaufen werden.<br />
Das Sicherheitsniveau muss während <strong>und</strong> nach der Änderung erhalten bleiben. Wenn Risiken nicht<br />
ausgeschlossen werden können, hat die Planung auch eine Rückfalllösung vorzusehen <strong>und</strong> Kriterien<br />
vorzugeben, wann diese zum Tragen kommen soll.<br />
Änderungen am <strong>IT</strong>-System sind zu protokollieren. Bei einer fehlgeschlagenen Änderung ist das <strong>IT</strong>-System<br />
möglichst in den ursprünglichen Zustand zu versetzen. Vor einer neuen Durchführung ist die Ursache<br />
festzustellen.<br />
Sofern Änderungen an produktiven Daten nicht über das Anwendungssystem gemacht werden können, sind<br />
auch diese Änderungen zu protokollieren.<br />
Alle von den Änderungen betroffenen Personen sind rechtzeitig zu informieren.<br />
7.1.3. Verfahren <strong>für</strong> das Management von Vorfällen<br />
Um bei <strong>IT</strong>-Sicherheitsvorfällen rasch <strong>und</strong> effektiv reagieren zu können, ist es notwendig, dass der<br />
<strong>Systembetreiber</strong> Verfahren, d. h. Anweisungen, Maßnahmen, eingesetzte Mittel etc., zur Behandlung von<br />
Vorfällen erarbeitet, umsetzt <strong>und</strong> aktuell hält.<br />
7.1.4. Pflichtentrennung<br />
Ausführende (z. B. Programmierung, Entwicklung) <strong>und</strong> kontrollierende (z. B. <strong>Audi</strong>t, Abnahme) Tätigkeiten<br />
sind personell voneinander zu trennen.<br />
Zudem sind Tätigkeiten dann zu trennen, wenn ohne eine Trennung ein erhöhtes Risiko einer willentlichen<br />
oder unwissentlichen Fehlhandhabung zu Lasten des Konzerns besteht (Vier-Augen-Prinzip).<br />
Vor der Einführung von Software sind die Verantwortlichkeiten zu regeln (z. B. <strong>für</strong> die Erstellung von<br />
Pflichtenheften, die Produktvorauswahl, das Testen, das Freigeben, die Installation <strong>und</strong> den Betrieb).<br />
7.1.5. Trennung von Entwicklungs- <strong>und</strong> Betriebsanlagen<br />
Entwicklungs-, Testsoftware <strong>und</strong> Software im laufenden Betrieb müssen auf unterschiedlichen <strong>IT</strong>-<br />
Systemen <strong>und</strong>/oder Netzbereichen laufen.<br />
Seite 5 von 14
<strong>IT</strong>-<strong>Sicherheitshandlungsleitlinien</strong> <strong>für</strong> <strong>Systembetreiber</strong> <strong>und</strong> Administratoren Status: Freigegeben<br />
Um Fehlbedienungen zu verhindern, sind Entwicklungs-, Test- <strong>und</strong> Produktivsysteme z. B. durch<br />
unterschiedliche Benutzerkennungen oder Anmeldeverfahren zu sichern.<br />
Entwicklungs-/Testpersonal darf nur einen zur Durchführung der erforderlichen Arbeit eingeschränkten<br />
oder zeitlich begrenzten Zugriff auf Produktivumgebungen erhalten.<br />
7.1.6. Externe Verwaltung von Geräten<br />
Vor einer Betreuung <strong>und</strong> Verwaltung von <strong>IT</strong>-Systemen durch Fremdpersonal ist folgendes zu prüfen <strong>und</strong><br />
durchzuführen:<br />
Genehmigungen der <strong>für</strong> Anwendung/Prozess zuständigen Personen sind einzuholen.<br />
Verantwortlichkeiten <strong>und</strong> Verfahren <strong>für</strong> die Meldung <strong>und</strong> Behandlung von <strong>IT</strong>-Sicherheitsvorfällen<br />
sind festzulegen.<br />
<strong>IT</strong>-Notfallpläne sind neu zu bewerten <strong>und</strong> anzupassen (siehe Kapitel 10.1.5).<br />
7.2. Systemplanung <strong>und</strong> -abnahme<br />
Systemplaner sowie Betreiber von <strong>IT</strong>-Systemen/-Netzen haben bereits bei der Planung der Kapazitäten die<br />
Anforderungen des späteren Betriebes zu berücksichtigen.<br />
Die Sicherheitsanforderungen an ein <strong>IT</strong>-System sind mit den Benutzern/Benutzervertretern während der<br />
Planung zu definieren <strong>und</strong> zu dokumentieren.<br />
Der <strong>Systembetreiber</strong> hat unter Berücksichtigung des geltenden <strong>IT</strong>-Sicherheitsregelwerkes zusammen mit<br />
den Benutzern/Benutzervertretern die zu erreichende <strong>IT</strong>-Sicherheit des <strong>IT</strong>-Systems zu planen. Dabei ist ein<br />
Sollzustand des <strong>IT</strong>-Systems festzulegen. Der Istzustand ist nach Realisierung des <strong>IT</strong>-Systems zu prüfen <strong>und</strong><br />
freizugeben.<br />
Die Systemplanung (Fachkonzeption, Systemdesign, Systemrealisierung) <strong>und</strong> -abnahme<br />
(Systemeinführung) ist mittels des Systementwicklungsprozesses (SEP) durchzuführen.<br />
7.3. Schutz vor bösartiger Software<br />
Kommunikationsgeräte, die von Schadsoftware befallen sind, sind unter Berücksichtigung möglicher<br />
Auswirkungen (z. B. Produktionsstillstand) vom internen Netzwerk zu trennen.<br />
Von den zuständigen Stellen (siehe Anhang, Ziff. 6) freigegebene Virensoftware ist auf jedem<br />
Kommunikationsgerät zu installieren. Die entsprechenden Virensignaturen sind regelmäßig zu<br />
aktualisieren.<br />
Die durch die zuständigen Stellen (siehe Anhang, Ziff. 7) freigegebenen Sicherheitspatche müssen zeitnah<br />
installiert werden.<br />
Vom <strong>Systembetreiber</strong> sind geeignete Netzübergangskomponenten (z. B. Intrusion Prevention System)<br />
einzusetzen, um das Firmennetz vor Schadsoftware <strong>und</strong> einer Verbreitung derselben im Netzwerk zu<br />
schützen.<br />
7.4. Haushaltsorganisation<br />
7.4.1. Back-up von Informationen<br />
Alle Verantwortlichen <strong>für</strong> <strong>IT</strong>-Systeme, Applikationen oder Datenbanken haben sicherzustellen, dass eine<br />
ausreichende Sicherung der Daten durch die zuständigen Stellen erfolgt.<br />
Sicherungsverfahren sind zu planen, zu überwachen <strong>und</strong> zu dokumentieren.<br />
Sicherungsdatenträger unterliegen den gleichen Sicherheitsanforderungen wie die Original-Daten (z. B.<br />
Schutz gegen Diebstahl <strong>und</strong> unbefugten Zugriff). Sie sind getrennt vom <strong>IT</strong>-System aufzubewahren, um bei<br />
einer Beschädigung oder Zerstörung des <strong>IT</strong>-Systems <strong>und</strong> seiner unmittelbaren Umgebung unversehrt zu<br />
bleiben.<br />
Seite 6 von 14
<strong>IT</strong>-<strong>Sicherheitshandlungsleitlinien</strong> <strong>für</strong> <strong>Systembetreiber</strong> <strong>und</strong> Administratoren Status: Freigegeben<br />
Vor Ablauf der technologieabhängigen Lebensdauer des jeweiligen Datenträgers sind die Daten auf neue<br />
Datenträger zu überspielen. Es ist dabei sicherzustellen, dass die erforderliche Hardware <strong>und</strong> Software zum<br />
Lesen <strong>und</strong> Beschreiben der Datenträger über die gesamte Aufbewahrungsdauer der Daten vorhanden ist.<br />
Bei der Archivierung von Daten sind firmeninterne <strong>und</strong> gesetzliche Aufbewahrungsfristen einzuhalten. Die<br />
Lesbarkeit von archivierten Datenträgern ist in angemessenen Zeitabständen zu überprüfen.<br />
7.4.2. Bedienerprotokolle<br />
Die Tätigkeiten der <strong>Systembetreiber</strong> an <strong>IT</strong>-Systemen mit vertraulichen <strong>und</strong>/oder geheimen Informationen<br />
sind zu protokollieren.<br />
Die Protokolle haben mindestens Folgendes zu enthalten:<br />
eine eindeutige Identifikation der protokollierten Person (z. B. Name oder Kennung),<br />
Beginn <strong>und</strong> Beendigung der Tätigkeit am <strong>IT</strong>-System,<br />
aufgetretene Systemfehler,<br />
durchgeführte Maßnahmen.<br />
Protokollauswertungen haben regelmäßig im Rahmen von <strong>Audi</strong>ts <strong>und</strong> bei Verdacht auf <strong>IT</strong>-<br />
Sicherheitsvorfälle zu erfolgen.<br />
7.4.3. Fehlerprotokoll<br />
Von Benutzern gemeldete Fehler <strong>und</strong> Fehlfunktionen sind zu protokollieren.<br />
Die vom Betreiber veranlassten Maßnahmen zur Fehlerbehebung müssen technisch korrekt <strong>und</strong> von<br />
berechtigtem Personal durchgeführt werden.<br />
7.5. Netzwerkmanagement<br />
Der sichere Betrieb von <strong>IT</strong>-System/-Netzen ist vom jeweiligen Betreiber zu gewährleisten.<br />
Das Sicherheitsniveau der Kommunikations- <strong>und</strong> der Netzwerkressourcen ist der Gefährdung <strong>und</strong> der<br />
Sensibilität der zu übertragenden Daten anzupassen.<br />
7.6. Sicherheit von Systemdokumentation<br />
Der Zugriff auf schützenswerte Systemdokumentation ist auf die Personen zu beschränken, die diese<br />
Informationen zur Erfüllung ihrer definierten Arbeitsumfänge benötigen.<br />
7.7. Austausch von Informationen <strong>und</strong> Software<br />
Der <strong>Systembetreiber</strong> ist <strong>für</strong> die Zuverlässigkeit von Kommunikationsdiensten (z. B. E-Mail, ftp)<br />
verantwortlich. Bei den E-Maildiensten ist folgendes zu beachten:<br />
Bei der Vergabe von E-Mail Adressen ist auf Eindeutigkeit zu achten.<br />
Gruppen-E-Mail Adressen dürfen nur <strong>für</strong> den E-Mail-Empfang verwendet werden.<br />
Postfächer sind gegen Zugriffe Unbefugter zu schützen.<br />
Für nicht zustellbare E-Mail Nachrichten erfolgt eine automatische Rückmeldung.<br />
Öffentlich zugängliche <strong>IT</strong>-Systeme sind <strong>für</strong> alle (z. B. Mitarbeiter, K<strong>und</strong>en, Geschäftspartner, Medien) frei<br />
zugänglich <strong>und</strong> zur Nutzung verfügbar.<br />
Informationen, die in das öffentlich zugängliche <strong>IT</strong>-System eingegeben <strong>und</strong> dort verarbeitet werden, sind<br />
vollständig, korrekt <strong>und</strong> zügig zu verarbeiten. Sie sind während des Bearbeitungsprozesses <strong>und</strong> bei der<br />
Speicherung zu schützen.<br />
Öffentlich zugängliche <strong>IT</strong>-Systeme dürfen nur über sichere Netzübergangskomponenten Zugang zu<br />
internen Netzen haben.<br />
Seite 7 von 14
<strong>IT</strong>-<strong>Sicherheitshandlungsleitlinien</strong> <strong>für</strong> <strong>Systembetreiber</strong> <strong>und</strong> Administratoren Status: Freigegeben<br />
8. Zugangskontrolle<br />
8.1. Geschäftsanforderungen an die Zugangskontrolle<br />
Der Zugriff auf nicht öffentliche Informationen darf nur authentisiert <strong>und</strong> autorisiert erfolgen.<br />
Der Informationseigentümer hat sicherzustellen, dass die Zugriffsrechte der Anwender <strong>und</strong> -gruppen auf<br />
die Ihnen zugewiesenen Ressourcen <strong>für</strong> jedes <strong>IT</strong>-System geregelt sind.<br />
Nicht benötigte Daten, Dienste <strong>und</strong> Benutzerkennungen sind durch den <strong>Systembetreiber</strong> zu löschen bzw.<br />
gezielt zu sperren.<br />
Administratorkennungen dürfen nur zu administrativen Aufgaben genutzt werden. Routinetätigkeiten, die<br />
kein Administrationsrecht erfordern, sind mit Benutzerkennungen mit eingeschränkten Rechten<br />
durchzuführen.<br />
8.2. Verwaltung der Zugriffsrechte der Benutzer<br />
Die Beantragung einer Zugangs-/Zugriffsberechtigung <strong>für</strong> ein internes <strong>IT</strong>-System erfolgt entsprechend<br />
gesellschaftsspezifischer Regelungen (siehe Anhang, Ziff. 8).<br />
Es ist vom <strong>Systembetreiber</strong> sicherzustellen, dass dieselbe Kennung nicht an verschiedene Benutzer<br />
vergeben wird.<br />
Für Gruppen von Benutzern mit ähnlichen Aufgaben sind Rollen zu definieren <strong>und</strong> in Systemen<br />
umzusetzen, soweit dies technisch möglich ist. Diesen Rollen sind standardmäßig Kategorien von<br />
Zugriffsrechten zuzuordnen.<br />
Ein Benutzer erhält die Rechte, die seiner Rolle zugeordnet sind.<br />
Der <strong>Systembetreiber</strong> hat eine Übersicht über die zugelassenen Benutzer, Benutzergruppen <strong>und</strong><br />
Rechteprofile zu führen.<br />
Es sind Verfahren <strong>für</strong> die Vergabe <strong>und</strong> die Rücksetzung von Passwörtern festzulegen <strong>und</strong> zu<br />
veröffentlichen.<br />
Einem Ausprobieren von Benutzerkennungen <strong>und</strong> Passwörtern ist durch geeignete Maßnahmen zu<br />
begegnen (z. B. Verlängerung der Wartezeit nach jedem Fehlversuch <strong>und</strong>/oder eine Sperrung nach einer<br />
definierten Anzahl von Fehlversuchen).<br />
Die Dokumentation der zugelassenen Benutzer <strong>und</strong> Rechteprofile ist regelmäßig darauf zu überprüfen, ob<br />
sie den tatsächlichen Stand der Rechtevergabe widerspiegelt <strong>und</strong> ob die Rechtevergabe noch den<br />
Sicherheitsanforderungen <strong>und</strong> den aktuellen Aufgaben der Benutzer entspricht.<br />
8.3. Netzzugriffskontrolle<br />
Nur authentisierte <strong>und</strong> autorisierte Benutzer dürfen Zugang zum internen Konzernnetzwerk erhalten.<br />
Der Systemzugang <strong>für</strong> externe Verbindungen ist mindestens mittels "Wissen <strong>und</strong> Besitz" zu schützen (z. B.<br />
SecurID-Karte: dort ist „Wissen“ die Kenntnis der PIN-Nummer <strong>und</strong> „Besitz“ das Haben der Karte selber).<br />
Zum Schutz vor unberechtigten <strong>und</strong> ungewollten Verbindungen sind Rückrufverfahren <strong>und</strong> –maßnahmen<br />
einzusetzen (z. B. die Verwendung von Rückruf-Modems).<br />
Die Anbindung eines externen Geschäftspartners darf erst nach unterschriebener Geschäfts- <strong>und</strong><br />
Geheimhaltungsvereinbarung erfolgen.<br />
Nicht benötigte Dienste sind von den zuständigen Stellen abzuschalten.<br />
Seite 8 von 14
<strong>IT</strong>-<strong>Sicherheitshandlungsleitlinien</strong> <strong>für</strong> <strong>Systembetreiber</strong> <strong>und</strong> Administratoren Status: Freigegeben<br />
8.4. Kontrolle des Betriebssystemzugriffs<br />
Das Netzwerk ist auf nicht autorisierte Endgeräte zu prüfen.<br />
<strong>IT</strong>-Systeme, die den Zugang Unbefugter ungehindert zulassen, dürfen nicht eingesetzt werden, sondern<br />
sind durch geeignete <strong>IT</strong>-Systeme zu ersetzen, durch geeignete Maßnahmen zu schützen oder durch<br />
entsprechende Zusatzsoftware oder –hardware nachzurüsten.<br />
Pflicht der Systemverantwortlichen ist es, ein sicheres Anmeldeverfahren umzusetzen. Dazu sind folgende<br />
Vorgaben zu erfüllen:<br />
Bei falscher Eingabe bei der Anmeldung darf das <strong>IT</strong>-System nicht anzeigen, welcher Teil der Daten<br />
fehlerhaft war.<br />
Erfolglose Versuche sind aufzuzeichnen.<br />
Die <strong>für</strong> das Anmeldeverfahren erlaubte maximale Zeit ist zu begrenzen. Bei Überschreitung hat das<br />
<strong>IT</strong>-System die Anmeldung abzubrechen.<br />
Allen Benutzern ist eine eindeutige Benutzerkennung <strong>für</strong> ihren persönlichen <strong>und</strong> alleinigen Gebrauch<br />
zuzuweisen, damit Aktivitäten auf die verantwortliche Einzelperson zurückgeführt werden können.<br />
Die Benutzerkennungen dürfen, soweit technisch möglich, keinerlei Auskunft über die Zugriffsrechte des<br />
Benutzers geben.<br />
Die Systemverantwortlichen haben die Mindestforderungen bei der Passwortfestlegung (siehe „<strong>IT</strong>-<br />
<strong>Sicherheitshandlungsleitlinien</strong> <strong>für</strong> Mitarbeiterinnen <strong>und</strong> Mitarbeiter“) durch entsprechende<br />
Systemumsetzungen zu unterstützen.<br />
Dialogsitzungen, die über einen längeren Zeitraum nicht mehr aktiv benutzt werden, sind zu deaktivieren<br />
oder durch geeignete Maßnahmen zu schützen.<br />
8.5. Zugriffskontrolle <strong>für</strong> Anwendungen<br />
Vom Administrator ist sicherzustellen, dass der Anwender innerhalb der Anwendung nur Zugriff auf die <strong>für</strong><br />
ihn freigegebenen Informationen erhält.<br />
8.6. Überwachung des Systemzugriffs <strong>und</strong> der Systembenutzung<br />
<strong>IT</strong>-Sicherheitsvorfälle sind zu dokumentieren.<br />
Bei der Passwortvergabe/-änderung ist zu überprüfen, ob Passwörter gemäß den Passwortregeln gebildet<br />
werden.<br />
8.7. Mobile Computing<br />
Mobiles Arbeiten im Netz außerhalb des Konzernnetzwerkes mit einem tragbaren Computer erfordert eine<br />
sichere Remote Anbindung. Die Identifikation <strong>und</strong> Authentisierung erfolgt mittels „Wissen <strong>und</strong> Besitz“. Die<br />
Datenübertragung ist mit einer sicheren Verschlüsselung zu schützen.<br />
9. Systementwicklung <strong>und</strong> –wartung<br />
Die Installation von Software darf nur von autorisierten Personen (siehe Anhang, Ziff. 9) durchgeführt<br />
werden.<br />
Neue oder geänderte Programme <strong>für</strong> Produktivsysteme dürfen nur nach erfolgreichen Tests sowie nach<br />
Freigabe durch Informationseigentümer <strong>und</strong> <strong>Systembetreiber</strong> eingesetzt werden. Die Versions-<br />
/Korrekturstände der eingesetzten Software sind zu dokumentieren <strong>und</strong> gemäß gesellschaftsspezifischer<br />
Regelungen (siehe Anhang, Ziff. 10) zu archivieren.<br />
Beim Zugriff auf Testdaten ist der Gr<strong>und</strong>satz „Kenntnis, nur wenn nötig“ zu beachten.<br />
Der Test von Software ist nur in der da<strong>für</strong> vorgesehenen Testumgebung zulässig. Dabei ist sicherzustellen,<br />
dass der produktive Betrieb nicht in Mitleidenschaft gezogen wird.<br />
Seite 9 von 14
<strong>IT</strong>-<strong>Sicherheitshandlungsleitlinien</strong> <strong>für</strong> <strong>Systembetreiber</strong> <strong>und</strong> Administratoren Status: Freigegeben<br />
Personenbezogene, vertrauliche oder geheime Daten sind vor der Übernahme von produktiven <strong>IT</strong>-Systemen<br />
in die Testsysteme so zu verfälschen, dass ein Rückschluss auf die Original-Daten nicht mehr möglich ist,<br />
sofern auf diese Daten Personen Zugriff erhalten, die diese nicht unbedingt <strong>für</strong> die Erfüllung ihrer<br />
vertragsgegenständlichen Arbeiten benötigen.<br />
Das Kopieren oder die Nutzung von Informationen aus laufenden <strong>IT</strong>-Systemen ist nur nach vorheriger<br />
Genehmigung durch den Informationseigentümer zulässig. Die kopierten Daten unterliegen den gleichen<br />
<strong>IT</strong>-Sicherheitsanforderungen wie die Original-Daten.<br />
Benutzte Informationen aus laufenden <strong>IT</strong>-Systemen sind nach Durchführung des Tests nicht<br />
wiederherstellbar zu löschen.<br />
Zugriffsberechtigungen, die <strong>für</strong> laufende <strong>IT</strong>-Systeme gelten, müssen auch <strong>für</strong> Testanwendungen beachtet<br />
werden.<br />
Sicherheitsupdates von Software-Herstellern sind zeitnah einzuspielen.<br />
Die Sicherheit von Anwendungen darf durch den Einsatz von Administrationswerkzeugen <strong>und</strong> –protokollen<br />
nicht gefährdet werden.<br />
Vor der Installation neuer Softwareversionen oder Patches ist durch Tests sicherzustellen, dass weder der<br />
Betrieb noch die Sicherheit durch die Änderungen gefährdet sind.<br />
Bei Änderungen sind die betroffenen Beschreibungen der Benutzerverfahren <strong>und</strong> der<br />
Betriebsdokumentation anzupassen.<br />
Wenn Änderungen an gekauften Softwarepaketen durchgeführt werden, sind die Auswirkungen auf<br />
bestehende Regelungen <strong>und</strong> Sicherheitsmaßnahmen zu klären. Änderungen dürfen nur erfolgen, wenn dies<br />
lizenzrechtlich <strong>und</strong> aufgr<strong>und</strong> der Wartungsverträge zulässig ist.<br />
10. Management des kontinuierlichen Geschäftsbetriebs<br />
10.1. Aspekte zur Aufrechterhaltung des Geschäftsbetriebs<br />
Unvorhergesehene oder unerwartete Ereignisse, die einen Ausfall von <strong>IT</strong>-Systemen über eine nicht<br />
tolerierbare Zeit <strong>und</strong> einen Schaden <strong>für</strong> Geschäftsprozesse zur Folge haben, werden im Folgenden<br />
einheitlich als <strong>IT</strong>-Notfall bezeichnet.<br />
10.1.1. Prozess <strong>für</strong> das Management des kontinuierlichen Geschäftsbetriebs<br />
Zur Aufrechterhaltung des kontinuierlichen <strong>IT</strong>-Geschäftsbetriebs hat der <strong>Systembetreiber</strong> organisatorische<br />
Maßnahmen/Prozesse <strong>für</strong> das Management aufzubauen, um kritische <strong>IT</strong>-Geschäftsprozesse zu<br />
identifizieren <strong>und</strong> zu bewerten.<br />
10.1.2. Aufrechterhaltung des Geschäftsbetriebs <strong>und</strong> Auswirkungsanalyse<br />
Eine Organisationseinheit oder das Gesamtunternehmen darf durch den Eintritt eines unerwarteten <strong>IT</strong>-<br />
Ereignisses (z. B. Ausfall) nicht handlungs- oder geschäftsunfähig werden.<br />
Um dieses zu erreichen, sind zum einen vorsorgliche Maßnahmen erforderlich, damit ein unerwartetes <strong>IT</strong>-<br />
Ereignis keinen Notfall zur Folge hat. Zum anderen sind Maßnahmen zu bestimmen, die bei Eintritt des <strong>IT</strong>-<br />
Notfalls durchzuführen sind.<br />
Die <strong>IT</strong>-Notfallvorsorge muss sich an den Anforderungen der Geschäftsprozesse, die beim Ausfall von <strong>IT</strong><br />
entstehen, orientieren. Mit Hilfe von Risikoanalysen sind mögliche Schadensfälle bezüglich der<br />
Eintrittswahrscheinlichkeit <strong>und</strong> der Schadenshöhe zu bewerten. Bei der Bewertung von Notfallschäden ist<br />
die Anzahl der betroffenen Anwender zu berücksichtigen sowie die geschäftliche Bedeutung der <strong>IT</strong> <strong>für</strong><br />
Geschäftsprozesse.<br />
10.1.3. Verfassen <strong>und</strong> Implementieren von Plänen zur Aufrechterhaltung des Geschäftsbetriebs<br />
Das notwendige Niveau der Dienstleistung <strong>und</strong> die maximal zu akzeptierenden Ausfallzeiten von<br />
geschäftskritischen informationsverarbeitenden <strong>IT</strong>-Systemen sind zu definieren <strong>und</strong> zu dokumentieren.<br />
Seite 10 von 14
<strong>IT</strong>-<strong>Sicherheitshandlungsleitlinien</strong> <strong>für</strong> <strong>Systembetreiber</strong> <strong>und</strong> Administratoren Status: Freigegeben<br />
Der <strong>IT</strong>-Notfallplan regelt das Vorgehen im <strong>IT</strong>-Notfall. Er enthält in komprimierter Form alle<br />
entscheidungsrelevanten Angaben, um im <strong>IT</strong>-Notfall die notwendigen Schritte einzuleiten.<br />
10.1.4. Rahmen <strong>für</strong> die Pläne zur Aufrechterhaltung des Geschäftsbetriebs<br />
Mit Hilfe des <strong>IT</strong>-Notfallplans muss schnell entschieden werden können, welche Maßnahmen<br />
durch welche Verantwortliche als erstes bzw. in welcher Reihenfolge durchzuführen sind.<br />
Die <strong>für</strong> <strong>IT</strong>-Notfallmaßnahmen verantwortlichen Mitarbeiter sowie ihre Vertreter sind namentlich <strong>und</strong> als<br />
Funktion im <strong>IT</strong>-Notfallplan anzugeben <strong>und</strong> ihre Erreichbarkeit ist sicherzustellen. Alle Personen, die über<br />
den <strong>IT</strong>-Notfall zu informieren sind, sind festzulegen.<br />
10.1.5. Testen, Aufrechterhaltung <strong>und</strong> erneute Analyse von Plänen zur Gewährleistung des<br />
kontinuierlichen Geschäftsbetriebs<br />
Die Sicherstellung des kontinuierlichen Geschäftsbetriebes wird mit folgenden Maßnahmen <strong>und</strong> Techniken<br />
von den <strong>Systembetreiber</strong>n überprüft:<br />
Planspiele von <strong>IT</strong>-Notfallszenarien,<br />
Simulationen zur Schulung des Personals auf ihre Rollen im Krisenmanagement,<br />
Technische Tests zur Wiederherstellung von Informationssystemen,<br />
Test der Wiederherstellung des Betriebs an einem Ausweichstandort,<br />
Prüfen der Vertragserfüllung von ihren externen Dienstleistern,<br />
Regelmäßige <strong>IT</strong>-Notfallübungen.<br />
11. Einhaltung der Verpflichtungen<br />
11.1. Einhaltung gesetzlicher Verpflichtungen<br />
Beim Einsatz von Verschlüsselung <strong>und</strong>/oder von elektronischen Signaturen (siehe Anhang, Ziff. 11)<br />
insbesondere über Ländergrenzen hinweg sind die länderspezifischen Regelungen <strong>für</strong> den<br />
Import/Export/Zugriff von bzw. auf Hardware/Software/Informationen zu beachten.<br />
Bei Fragen zu den länderspezifischen Regelungen sind die zuständigen Stellen (siehe Anhang, Ziff. 12) zu<br />
kontaktieren.<br />
11.2. Überprüfung der Sicherheitspolitik <strong>und</strong> technischen Normerfüllung<br />
Jeder Betreiber von <strong>IT</strong>-Systemen hat seine <strong>IT</strong>-Systeme stichprobenartig auf die Einhaltung der<br />
sicherheitsrelevanten Vorschriften <strong>und</strong> Richtlinien zu überprüfen.<br />
Mechanismen <strong>und</strong> Tools zur Systemüberwachung (z. B. die <strong>Audi</strong>tfunktion der Betriebs-systeme) sind<br />
einzurichten <strong>und</strong> zu nutzen. Da<strong>für</strong> vorgeschriebene Genehmigungsverfahren sind zu beachten (siehe<br />
Anhang, Ziff. 13).<br />
Die Betreiber von <strong>IT</strong>-Systemen sind verpflichtet, bekannt gewordene Sicherheitslücken der <strong>IT</strong>-Systeme<br />
durch geeignete Maßnahmen zu schließen.<br />
11.3. Überlegungen zum Systemaudit<br />
<strong>Audi</strong>tanforderungen/–aktivitäten sind sorgfältig zu planen (insbesondere <strong>für</strong> Produktiv-systeme), um das<br />
Risiko von Störungen der Geschäftsprozesse zu minimieren.<br />
Folgende Punkte sind zu beachten:<br />
Der Anwendungsbereich der Prüfungen ist zu vereinbaren <strong>und</strong> zu kontrollieren.<br />
Die Prüfungen sind auf nur lesenden Zugriff <strong>für</strong> Software <strong>und</strong> Daten zu begrenzen.<br />
<strong>IT</strong>-Ressourcen sind <strong>für</strong> die Prüfungen zu identifizieren <strong>und</strong> verfügbar zu machen.<br />
Sämtliche Verfahren, Anforderungen <strong>und</strong> Zuständigkeiten sind zu dokumentieren.<br />
Um einen Missbrauch oder die Kompromittierung des <strong>Audi</strong>ttools zu verhindern, darf der Zugriff auf<br />
Systemaudittools nur <strong>für</strong> autorisiertes Personal erlaubt werden.<br />
Das uneingeschränkte Prüfungsrecht der internen Revision ist hiervon nicht betroffen.<br />
Seite 11 von 14
<strong>IT</strong>-<strong>Sicherheitshandlungsleitlinien</strong> <strong>für</strong> <strong>Systembetreiber</strong> <strong>und</strong> Administratoren Status: Freigegeben<br />
12. Verantwortlichkeit<br />
Diese Handlungsleitlinien sind von allen <strong>Systembetreiber</strong>n <strong>und</strong> Administratoren anzuwenden <strong>und</strong><br />
einzuhalten.<br />
Verstöße gegen die Handlungsleitlinien werden individuell nach geltenden betrieblichen <strong>und</strong> gesetzlichen<br />
Vorschriften <strong>und</strong> Vereinbarungen geprüft <strong>und</strong> entsprechend geahndet.<br />
Abweichungen von diesen Handlungsleitlinien, die das Sicherheitsniveau senken, sind nur in Abstimmung<br />
mit den zuständigen Stellen (siehe Anhang, Ziff. 14) <strong>und</strong> nur zeitlich begrenzt zulässig.<br />
Seite 12 von 14
<strong>IT</strong>-<strong>Sicherheitshandlungsleitlinien</strong> <strong>für</strong> <strong>Systembetreiber</strong> <strong>und</strong> Administratoren Status: Freigegeben<br />
Anhang:<br />
Gültigkeit:<br />
Diese Regelungen sind <strong>für</strong> den Betrieb <strong>und</strong> die Administration von neuen <strong>IT</strong>-Systemen mit der<br />
Veröffentlichung sofort bindend.<br />
Für bestehende Systeme <strong>und</strong> Prozesse ist vom <strong>Systembetreiber</strong> ein Migrationskonzept zu erarbeiten, um<br />
diese entsprechend anzupassen. Die Migration muss bis zum 31.12.2006 abgeschlossen sein.<br />
Ziffer<br />
1.<br />
Speicherprogrammierbare Steuerungen (SPS) <strong>und</strong> Robotersteuerungen sind in verschließbaren Schränken<br />
aufzubewahren oder durch entsprechende anderweitige geeignete Maßnahmen zu sichern. Der Zugang ist<br />
nur Berechtigten zu ermöglichen.<br />
Speicherprogrammierbare Steuerungen (SPS) <strong>und</strong> Robotersteuerungen sind in Netzen zu betreiben, in<br />
denen nur die Kommunikation erlaubt ist, die <strong>für</strong> den Betrieb unbedingt erforderlich ist.<br />
2.<br />
Die jeweils aktuellen Informationen werden im <strong>Audi</strong> mynet veröffentlicht.<br />
3.<br />
Ein <strong>IT</strong>-System ist ein Gesamtsystem bestehend aus sämtlichen HW/SW-Komponenten inklusive deren<br />
Kommunikationsbeziehungen untereinander.<br />
4.<br />
Die <strong>IT</strong>-Sicherheitsorganisation besteht aus dem Informations- <strong>und</strong> Datenschutz, dem <strong>IT</strong>-Sicherheitsteam,<br />
der Expertengruppe <strong>IT</strong>-Sicherheit, den Competence Centern im Kontext der <strong>IT</strong>-Sicherheitsorganisation <strong>und</strong><br />
den <strong>IT</strong>-Sicherheitsbeauftragten in den Fachbereichen.<br />
5.<br />
Die Dokumentation ist in Abhängigkeit von gesetzlichen Anforderungen <strong>und</strong> Fachbereichsanforderungen zu<br />
archivieren. So ist z. B. jegliche Dokumentation, die auch indirekt mit der Rechnungslegung zu tun hat, laut<br />
den „Gr<strong>und</strong>sätzen ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS)“ während der Lebenszeit<br />
des Systems <strong>und</strong> danach 10 Jahre zu archivieren.<br />
6.<br />
Die Freigabe von Virenschutzsoftware erfolgt durch das Viren Competence Center (VCC).<br />
7.<br />
Verantwortlichkeit: I/FP.<br />
8.<br />
Die Beantragung einer Zugangs-/Zugriffsberechtigung <strong>für</strong> ein internes <strong>IT</strong>-System erfolgt schriftlich mit<br />
dem Benutzerantrag. Alle Personen, die zur Benutzung eines Systems oder einer Applikation berechtigt<br />
sind, sind formal zu erfassen.<br />
9.<br />
Verantwortlichkeit: Systemadministratoren, Mitarbeiter mit administrativen Rechten.<br />
10.<br />
Die Versions-/Korrekturstände sind in Abhängigkeit von gesetzlichen Anforderungen <strong>und</strong><br />
Fachbereichsanforderungen zu archivieren. So ist z. B. jegliche Dokumentation, die auch indirekt mit der<br />
Rechnungslegung zu tun hat, laut den „Gr<strong>und</strong>sätzen ordnungsmäßiger DV-gestützter<br />
Buchführungssysteme (GoBS)“ während der Lebenszeit des Systems <strong>und</strong> danach 10 Jahre zu archivieren.<br />
11.<br />
Nationale Gesetze zur Anerkennung der elektronischen Signatur:<br />
In der B<strong>und</strong>esrepublik Deutschland gilt das Signaturgesetz – SigG. Hier sind die nationalen gesetzlichen<br />
Rahmenbedingungen <strong>für</strong> den Einsatz elektronischer Signaturen beschrieben. Das an die EU-Richtlinie über<br />
gemeinschaftliche Rahmenbedingungen <strong>für</strong> elektronische Signaturen vom 13.12.1999 [ECRL99]<br />
Seite 13 von 14
<strong>IT</strong>-<strong>Sicherheitshandlungsleitlinien</strong> <strong>für</strong> <strong>Systembetreiber</strong> <strong>und</strong> Administratoren Status: Freigegeben<br />
angepasste Gesetz über Rahmenbedingungen <strong>für</strong> elektronische Signaturen <strong>und</strong> zur Änderung weiterer<br />
Vorschriften [SigG01] ist am 22.05.2001 in Kraft getreten <strong>und</strong> löst das Signaturgesetz von 1997 ab.<br />
Das Gesetz soll Rahmenbedingungen schaffen, bei deren Einhaltung eine qualifizierte elektronische<br />
Signatur als mindestens gleichwertig sicher zu einer eigenhändigen Unterschrift angesehen werden kann.<br />
Es enthält Festlegungen darüber, wann qualifizierte elektronische Signaturen nach dem Signaturgesetz der<br />
handschriftlichen Unterschrift gleichgestellt sind. Im Ergebnis wird digitalen Signaturen nach dem<br />
Signaturgesetz auch vor Gericht eine hohe Sicherheit zugebilligt.<br />
12.<br />
Verantwortlichkeit: Zentraler Rechtsservice.<br />
13.<br />
Personenbezogene <strong>Audi</strong>ts sind schriftlich vom Leiter Informations- <strong>und</strong> Datenschutz <strong>und</strong> der zuständigen<br />
Personalabteilung genehmigen zu lassen. Eine Abstimmung mit dem Betriebsrat ist notwendig.<br />
14.<br />
Verantwortlichkeit: Informations- <strong>und</strong> Datenschutz.<br />
Seite 14 von 14