E&R Logo

Wissenswertes

Informationssicherheit bei der Entgelt und Rente AG (Teil 1)

Wie im letzten Newsletter angekündigt, gibt die Entgelt und Rente AG ihren Kunden in einer dreiteiligen Reihe einen Einblick in die Maßnahmen und Verfahren zur Informationssicherheit.

Informationssicherheit bei der Entgelt und Rente AG (Teil 1)

Die Entgelt und Rente AG hat ein nach ISO/ IEC: 27001 zertifiziertes Informationssicherheits-Managementsystem (ISMS) implementiert. Dieses wird von einem Informationssicherheitsbeauftragten verantwortet, der von einer ISMS-Koordinatorin unterstützt wird.

Das Informationssicherheits-Managementsystem ist jener Teil des gesamten Managementprozesses, der sich mit Planung, Implementierung, Instandhaltung, Überprüfung und Verbesserung von Informationssicherheit befasst. Im Rahmen der Informationssicherheit werden die folgenden Schutzziele verfolgt: Vertraulichkeit (die Eigenschaft von Informationen, sie lediglich berechtigten Personen oder Systemen verfügbar zu machen), Integrität (die Eigenschaft von Informationen, dass sie lediglich von berechtigten Personen oder Systemen auf genehmigte Weise abgeändert werden können) und Verfügbarkeit (die Eigenschaft von Informationen, dass sie berechtigten Personen lediglich zugänglich sind, wenn ein solcher Zugang notwendig ist).

Der Zertifizierungsprozess sieht vor, dass in einem drei-Jahres-Rhythmus durch eine akkreditierte Zertifizierungsgesellschaft die Wirksamkeit des implementierten ISMS überprüft wird.

Die Entgelt und Rente AG hat die Erstzertifizierung in 2021 sowie das erste Überwachungsaudit in 2022 erfolgreich abgeschlossen.

Sicherheitsmaßnahmen bei der Entgelt und Rente AG

Im Rahmen des ISMS hat die E&R AG unter anderem die folgenden Sicherheitsmaßnahmen implementiert:

Risikobeurteilung

Für alle zu schützenden Werte (z. B. Geschäftsprozesse, Informationen, IT-Anwendungen und IT-Systeme) wird eine verantwortliche Person benannt, die die jeweilige Vertraulichkeitsstufe bestimmt, evtl. Risiken identifiziert und geeignete Maßnahmen ableitet und laufend überwacht.

Zutritts- und Zugangssteuerung

Gebäude und Räumlichkeiten werden durch ausreichende Zutrittskontrollen geschützt. Der Zugang zu IT-Systemen wird durch angemessene Zugangskontrollen und der Zugriff auf die Daten durch ein Rechte- und Rollen Konzept geschützt; Zutritte zu besonders kritischen Räumlichkeiten wie Serverräumen werden einem stark eingeschränkten Personenkreis gewährt und über ein digitales Zutrittsverwaltungssystem administriert.

Anti Virus, Firewall

Anti-Virus-Programme werden auf allen IT-Systemen eingesetzt und zentral verwaltet. Alle Internetzugänge werden durch eine geeignete Firewall gesichert. Die Firewall-Regelungen werden quartalsweise durch die E&R AG überprüft und ggfls. angepasst. Um Manipulationen zu verhindern, wird jedes von der E&R AG betriebene System vor Veröffentlichung gehärtet, d.h. einer sicheren Konfiguration unterzogen, die Sicherheitslücken schließt.

Datensicherung

Durch eine umfassende Datensicherung wird gewährleistet, dass der IT-Betrieb kurzfristig wiederaufgenommen werden kann, wenn Teile des operativen Datenbestandes verloren gehen oder offensichtlich fehlerhaft sind. Die gesetzlichen Aufbewahrungsfristen werden dabei beachtet.
Der Prozess Backup umfasst die Sicherung aller Systeme/Datenbanken, welche für die Geschäftserbringung der E&R AG sowie der E&R Service GmbH notwendig sind sowie die Lagerung der Sicherungsmedien (Langzeitarchivierung).

Zugriff auf die Datensicherung haben ausschließlich die E&R IT-Administration sowie durch E&R beauftragte Unterauftragnehmer. Es ist sichergestellt und wird mindestens jährlich durch eine Zertifizierungsstelle geprüft, dass mit jedem Unterauftragnehmer ein Auftragsdatenverarbeitungsvertrag geschlossen ist.

Bei der E&R AG gelten die folgenden Backup Regeln:

Intervall der Sicherung

Aufbewahrungsdauer der Sicherung

alle 6 Stunden

2 Tage

alle 24 Stunden

31 Tage

am 1. jeden Monats

6 Monate

im 1. Monat jeden Jahres

30 Jahre

Die archivierte Datensicherung wird in einem getrennten Netzwerk in einem separaten Rechenzentrum aufbewahrt. Somit ist sichergestellt, dass, sofern das durch E&R genutzte Rechenzentrum ausfallen sollte, weiterhin auf die Datensicherung zugegriffen werden kann.

Die Systemwiederherstellung nach einem Ausfall erfolgt nach dem sogenannten Recovery Time Objective (RTO) (siehe Notfallmanagementplan).

E&R plant laufend den weiteren Ausbau des Netzwerkes mit redundanten Servern: Dabei werden Server sowie Daten auf eine redundante Komponente gespiegelt, so dass auch ohne Wiederherstellung von Backups im Notfall die Verfügbarkeit der Daten und Systeme gewährleistet werden kann.

Notfallmanagementplan

Um größere Schäden in Folge von Notfällen zu begrenzen bzw. diesen vorzubeugen, muss auf Sicherheitsvorfälle zügig und konsequent reagiert werden. Maßnahmen für den Notfall werden in einem separaten Notfallmanagementplan zusammengestellt. Ziel ist es, auch bei einem Systemausfall kritische Geschäftsprozesse aufrecht zu erhalten und die Verfügbarkeit der ausgefallenen Systeme innerhalb einer tolerierbaren Zeitspanne wiederherzustellen.

Dabei wird die vertretbare Ausfallzeit von Geschäftsprozessen (RTO) sowie der vertretbare Datenverlust (RPO) festgelegt und anschließend in das Monitoring aufgenommen:

Recovery Point Objective (RPO)

Wie viel Datenverlust kann in Kauf genommen werden? Welcher Abstand darf zwischen zwei Datensicherungen liegen?

Die von der E&R festgelegten Standartwerte lauten:

Produktivsystem = 6 Stunden

Testsystem = 24 Stunden

Recovery Time Objective (RTO)

Wie lange darf der Geschäftsprozess bzw. das System ausfallen?

Die von der E&R festgelegten Standartwerte lauten:

Produktivsystem = < 24 Stunden

Testsystem = < 24 Stunden

 

Im nächsten Newsletter erfahren Sie mehr zu den Themen Steuerung von Dienstleistern, Awareness/Schulung, Auditplan, Notfallszenarien und -Prozesse, Security Patches, Monitoring und zum ISMS-Rollenkonzept.