# Sicherheitsmaßnahmen ### 🔍 Einführung Die DSGVO (Artikel 32) verpflichtet Verantwortliche und Auftragsverarbeiter, die **Sicherheit personenbezogener Daten** durch **geeignete technische und organisatorische Maßnahmen** zu gewährleisten.\ Diese Maßnahmen müssen den **Risiken** der Verarbeitung, der **Art der Daten** und den **verfolgten Zwecken** **angemessen** sein. > 🎯 Ziel: Die **Vertraulichkeit**, **Integrität**, **Verfügbarkeit** und **Belastbarkeit** der Systeme und Daten sicherstellen. *** ### ⚖️ Ein risikobasierter Ansatz Bevor Maßnahmen gewählt werden, müssen Sie: 1. Die **zu schützenden Elemente** identifizieren (Daten, Systeme, Datenflüsse). 2. Die **Bedrohungen und Schwachstellen** bewerten (menschlicher Fehler, Angriff, Ausfall usw.). 3. Die **potenziellen Auswirkungen** bestimmen (Verlust, Offenlegung, Veränderung…). 4. **Geeignete Maßnahmen** wählen, um diese Risiken auf ein akzeptables Niveau zu reduzieren. > 🧩 Die DSGVO legt keine feste Liste von Maßnahmen fest: Sie schreibt eine **verstärkte Sorgfaltspflicht** vor.\ > Jede Organisation muss ihr Sicherheitskonzept an ihren Kontext **anpassen** und dies **nachweisen** können. *** ### 🧱 Kategorien von Sicherheitsmaßnahmen #### 🔧 Technische Maßnahmen Wirken direkt auf die Informationssysteme. | Bereich | Beispiele | | -------------------------------------- | ------------------------------------------------------------------------------------------------- | | **Zugriffskontrolle** | Starke Authentifizierung (MFA), Berechtigungsmanagement, Protokollierung | | **Verschlüsselung** | Daten im Ruhezustand und bei der Übertragung, TLS-Zertifikate, verwaltete und erneuerte Schlüssel | | **Pseudonymisierung / Anonymisierung** | Logische Trennung, Hashing, Token | | **Sicherung und Belastbarkeit** | Regelmäßige Backups, Wiederherstellungstests, Redundanz | | **Anwendungssicherheit** | Penetrationstests, Patches, Serverhärtung | | **Überwachung** | SIEM, Warnungen bei abnormalem Zugriff, Vorfallserkennung | *** #### 🧭 Organisatorische Maßnahmen Strukturieren die Governance und das interne Verhalten. | Bereich | Beispiele | | --------------------------------- | -------------------------------------------------------------------------------------- | | **Sicherheitsrichtlinie** | IT-Charta, IT-Sicherheits-Governance, Vorfallmanagementplan | | **Schulung und Sensibilisierung** | Interne Kampagnen, E-Learning-Module, Phishing-Simulationen | | **Drittmanagement** | Vertragsklauseln, Audits von Auftragsverarbeitern, regelmäßige Bewertungen | | **Interne Verfahren** | Berechtigungsprozess, Notfallwiederherstellungsplan (BCP/DRP), regelmäßige Überprüfung | *** #### 🏢 Physische Maßnahmen Schützen Räumlichkeiten, Geräte und materielle Datenträger. | Bereich | Beispiele | | ----------------------- | ------------------------------------------------------------ | | **Physischer Zugang** | Ausweiskontrolle, Kameras, Bereiche mit beschränktem Zugang | | **Materieller Schutz** | Tresore, gesicherte Racks, Notstromversorgung | | **Sichere Vernichtung** | Schreddern, zertifiziertes Löschen, IT-Entsorgungsmanagement | *** ### 🔁 Sicherheitsmanagement-Zyklus 1. **Identifizieren**: Daten, Systeme, Schwachstellen, Bedrohungen. 2. **Bewerten**: Risiken und potenzielle Auswirkungen (Risikoanalyse). 3. **Schützen**: Sicherheitsmaßnahmen definieren und umsetzen. 4. **Überwachen**: Vorfälle erkennen, Kontrollen auditieren. 5. **Verbessern**: Korrigieren, verstärken, Maßnahmen dokumentieren. *** ### 💼 Die Maßnahmen in Dastra Dastra erleichtert die **Dokumentation, Bewertung und Nachverfolgung** der Sicherheitsmaßnahmen im Rahmen der DSGVO-Governance und der zukünftigen **KI-Verordnung**: * 🧩 **Kartieren** Sie Ihre Maßnahmen im **Verarbeitungsverzeichnis**, nach Tätigkeit oder Auftragsverarbeiter. * 🔍 **Bewerten Sie die Risiken** mit dem Risikomanagement-Modul. * 🧠 **Planen Sie Korrekturmaßnahmen** und verfolgen Sie deren Fortschritt. * 🧾 **Dokumentieren Sie die Compliance-Nachweise** (Richtlinien, Audits, Ausführungsnachweise). * 📊 **Messen Sie den Sicherheitsreifegrad** Ihrer Organisation. *** ### 📚 Nützliche Ressourcen * [CNIL-Leitfaden – Sicherheit personenbezogener Daten](https://www.cnil.fr/fr/principes-cles/guide-de-la-securite-des-donnees-personnelles) * [ISO/IEC 27001 – Informationssicherheits-Managementsysteme](https://www.iso.org/fr/isoiec-27001-information-security.html) * [ANSSI – Empfehlungen zur IT-Sicherheit](https://www.ssi.gouv.fr/) *** {% hint style="success" %} 💡 **Gute Praxis:** Verfolgen Sie einen Ansatz **integrierter und lebendiger Sicherheit**: Jedes neue Projekt, jeder neue Auftragsverarbeiter oder jedes neue Tool sollte einer Risikobewertung und einer Aktualisierung der Maßnahmen unterzogen werden. {% endhint %} --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://doc.dastra.eu/de/nutzliche-hinweise/rgpd-en-bref/mesures-de-securite.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.