Dipl.-Volksw. Fritz Schmidt
Der Zugang zu Verarbeitungsanlagen ist Unbefugten zu verwehren. Die Zugangskontrolle umfasst sowohl die Verhinderung des unberechtigten körperlichen Zutritts in Räumlichkeiten mit Datenverarbeitungsanlagen (Zutrittskontrolle) als auch das unbefugte Eindringen in Datenverarbeitungsanlagen. Hier geht es um den Schutz vor einer unbefugten Benutzung (Zugang) der Systeme, auf denen personenbezogene Daten verarbeitet werden, durch nicht berechtigte Personen. Diese Personen können Unternehmensexterne, aber auch Mitarbeiter sein.
Zutrittskontrolle
Die Zutrittskontrolle soll dafür sorgen, dass nur Berechtigte Räumlichkeiten oder bestimmte Zonen davon betreten können. Die Zutrittskontrolle kann durch bauliche Maßnahmen gesichert werden wie Alarmanlagen, Sicherheitstüren, Klingelkameras oder die Trennung von Bearbeitungs- und Publikumszonen. Weiteres Element ist z. B. ein während der Besuchszeiten ständig besetzter Empfangsbereich. Ein unbeaufsichtigter Publikumsverkehr kann vermieden werden, wenn die Besucher durch einen Mitarbeiter der jeweiligen Fachabteilung am Empfang abgeholt werden. Weiteres Element der Zutrittskontrolle kann eine differenzierte Schlüsselregelung sein, die den Mitarbeitern z. B. nur Zutrittsberechtigungen für bestimmte Bereiche von Gebäuden erlaubt. Zu regeln ist auch, wie Wartungs- und Reinigungsarbeiten unter den Aspekten der Zutrittskontrolle organisiert werden.
Zugangskontrolle
Maßnahmen zur Zugangskontrolle sind die Einschränkung des Zugangs zu den Arbeitsplatzrechnern und zum Netzwerk durch die Vergabe von Passwörtern und die Einrichtung jeweils eines Benutzerstammsatzes pro Benutzer (User), der dann nur Zugang zu bestimmten für die Arbeitsverrichtung notwendigen Bereichen des IT-Systems gewährt. Weiter kann die Zugangskontrolle durch eine automatische Sperrung der Bildschirme bei Inaktivität des Nutzers, die nur durch die Eingabe des Passworts aufgehoben werden kann, verbessert werden.
Die Anmeldung mittels Nutzername und Passwort stellt das gängigste Verfahren zur Zugangskontrolle dar. Die Authentifizierung mittels Passwort ist damit das wesentliche und häufig auch das einzige Sicherheitselement, das vor dem Zugriff durch Unbefugte schützt. Zum Umgang mit Passwörtern und wie ein sicheres Passwort zu gestalten ist siehe Kap. 3.3.2 Passwortsicherheit.
Unbefugtem Eindringen in die Datenverarbeitungsanlagen von außerhalb ist durch den Betrieb einer Firewall vorzubeugen. Diese kontrolliert den Datenaustausch mit dem Internet.
Musterformulierung
Zutrittskontrolle
Unbefugten ist der Zutritt zu den Datenverarbeitungs-, Datenspeicherungs-, Netzwerk- und Telekommunikationsanlagen (Sprache, Daten), mit denen personenbezogene Daten verarbeitet werden, zu verwehren. Der Grad der Schutzmaßnahmen richtet sich dabei nach dem Grad der Schutzbedürftigkeit der Daten.
Der Zutritt zu unseren Räumlichkeiten ist nur Berechtigten über den Haupteingang vorbei an den Mitarbeitern des Empfangs möglich. Nicht oder nicht permanent von den Empfangsmitarbeitern überwachte Eingänge sind verschlossen.
Fremddienstleister werden grundsätzlich durch Mitarbeiter begleitet.
Zugangskontrolle
Alle Rechner verfügen mindestens über ein Zugangskontrollsystem (User-ID, Passwort). Es gibt vorgeschriebene Regeln zur Passwortvergabe. Dies betrifft die notwendige Komplexität, die Lebensdauer des Passworts sowie die Wiederverwendung alter Passwörter.
Es besteht eine Firewall ___________ (bitte beschreiben).
Zum Schutz vor Viren ist ein Virenscanner der Marke ___________ (bitte beschreiben) installiert, eine Aktualisierung erfolgt permanent.