IT-Sicherheitskonzept

IT-Sicherheitskonzept der INFINKON Health AG


Folgende Maßnahmen werden sowohl seitens INFINKON Health AG (nachfolgend INFINKON), als auch seitens des RZ Betreibers telenetwork AG, zum Schutz vertraulicher und persönlicher Daten des Auftraggebers und dessen Kunden getroffen und regelmäßig evaluiert:

1. Zugangskontrolle (Entrance / system access control)

Maßnahmen der telenetwork AG am RZ Standort Trier

INFINKON setzt ausschließlich Server-Systeme von Rechenzentrumsbetreibern ein, die gültige Zertifizierungen besitzen und somit alle technischen und organisatorischen Maßnahmen gemäß DSGVO umsetzen. Die telenetwork AG setzt auf umfangreiche, nach verschiedenen Standards zertifizierte Maßnahmen zur Verwehrung des Zugangs zu Verarbeitungsanlagen für Unbefugte. Hierzu zählen unter anderem:

a) Zutrittskontrollsystem

Elektronische Zutrittskontrolle bei Betreten des Rechenzentrums als auch in den jeweiligen Sicherheitsbereich.

b) Absicherung der Zutrittskontrollsysteme

Zutrittskontrollsysteme sowie die Alarmanlagen sind über USV und Netzersatzanlage gegen Stromausfall gesichert. lm Falle einer Funktionsstörung kann der Zutritt zum Rechenzentrum über ein Sicherheitsschließsystem manuell erfolgen. Dies ist ausschließlich durch telenetwork-Mitarbeiter möglich.

c) Einrichtung von Sicherheitszonen

Der Zutritt zu den INFINKON-Systemen ist ausschließlich durch den von INFINKON definierten Personenkreis (Geschäftsführung) und durch einen bei telenetwork eingeschränkten Personenkreis möglich.

d) Schlüsselvergabe

An begrenzten Personenkreis, ausschließlich an autorisierte Personen (Whitelist), bei Übergabe Identitätskontrolle mittels amtlicher Dokumente mit Lichtbild (z.B. Personalausweis), Dokumentation der Schlüsselübergabe.

e) Schlüsselkonzept

Elektronisch: Zutritt ist durch ein materielles (RFID-Chip) und ein biometrisches (Fingerabdruck) ldentifikationsmerkmal gesichert. Physikalisch: Die INFINKON Server-Schränke verfügen über eine eigene digitale Schließung.

f) Besucherregelung

Besucher dürfen sich im Rechenzentrum ohne Begleitung von autorisiertem Personal oder telenetwork-Mitarbeitern nicht aufhalten.

g) Zutrittserfassung

Jede Nutzung eines ID-Tag (RFID-Chip) oder biometrische Anforderung wird elektronisch erfasst und mit Zeitdaten protokolliert.

h) Einbruchmeldeanlage

Meldungen der Einbruchmeldeanlage (Einbruch, Störung etc.) werden auf unabhängigen Wegen an telenetwork und den Bereitschaftsdienst übertragen, welche entsprechende Maßnahmen einleiten.

i) Videoüberwachung

Die Außenhaut des Rechenzentrums und der Zutritt zu Sicherheitsbereichen im Rechenzentrum ist mit Videotechnik überwacht.

j) Closed-Shop-Betrieb

Das Gelände des Rechenzentrums dient nur dem Zweck der Datenverarbeitung, es besteht kein Publikumsverkehr.

2. Zugriffs-, Übertragungs- und Transportkontrolle (Data access / transmission / transport control)

Maßnahmen der telenetwork AG am RZ Standort Trier

telenetwork sorgt dafür, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Maßnahmen der INFINKON Health AG am RZ Standort Trier

  • Konfiguration der Applikations-Server mit Docker-Containern mit minimaler Dienste-Ausstattung und automatischen Releases in kurzen Abständen
  • Einsatz von Firewalls mit u.a. GEO-Locking-Konzept zum Whitelisting von IP Bereichen
  • Patch- und Sicherheitskonzept zum regelmäßigen Aktualisieren der Systeme und patchen bekanntwerdender Sicherheitslücken
  • Server-Administration nur für eingeschränkten Personenkreis per Public Key Authentifizierung
  • Login / Passwortschutz durch state-of-the-art Hash-Verfahren und verschlüsselter https- Übertragung
  • Speicherung von sensiblen Kundendaten mit starken kryptographischen Verfahren mit von Code & Datenbank getrennter Schlüsselverwahrung

3. Zuverlässigkeit, Verfügbarkeit & Integrität der eingesetzten IT Systeme (Reliability, Integrity, Availability)

Maßnahmen der telenetwork AG am RZ Standort Trier

a) USV (Unterbrechungsfreie Stromversorgung)

Das Rechenzentrum ist mittels USV-Anlage gegen kurzzeitige Stromausfälle abgesichert.

b) Notstromaggregate

Notstromaggregate sichern längere Stromunterbrechungen ab. Eine Nachbetankung während des Betriebes ist im Bedarfsfall möglich. Notstromaggregate werden nach Herstellervorgaben gewartet.

c) Brandschutz

Rechenzentrum ist in mehrere separate Brandabschnitte unterteilt. Zentrale Gaslöschanlage und zusätzlich Handfeuerlöscher zur punktuellen Brandbekämpfung.

d) Brandmelder

Brandmeldeanlage, welche die Gaslöschanlage auslöst und die Alarmierung Not- und Bereitschaftsdienstes des Bereitschaftshabenden der telenetwork AG anstößt.

e) Klimatisierung

Das Rechenzentrum ist mit einer redundanten Raumklimatisierung ausgestattet.

f) Objektsicherung insbesondere der Serverräume

Kundenschränke oder -flächen im Rechenzentrum sind physikalisch durch verschlossene Schränke bzw. Absperrungen der Flächen separat gesichert. Schlüsselkonzept, Videoüberwachung, Wachdienst usw. sind gem. Beschreibung unter „Zutrittskontrolle“ vorhanden.

Maßnahmen der INFINKON Health AG am RZ Standort Trier

  • Mehrfach redundante hardware- und softwareseitige Auslegung der Applikations- und Datenbankserver
  • Automatisiertes Monitoring der Serversysteme und Dienste mit automatischer Benachrichtigung und Eskalation von Problemfällen
  • Spiegelung der Daten auf mindestens drei getrennten Serversystemen
  • Regelmäßige Backup Rotation
  • Automatisierte Softwaretests zur Sicherstellung der Plattform Funktionalität

4. Auftragskontrolle (Data processor control)

Maßnahmen der telenetwork AG am RZ Standort Trier

Die telenetwork AG handelt ausschließlich im Rahmen und Umfang des Auftrags durch die INFINKON Health AG entsprechend den festgelegten Weisungen.

a) Kontrollmaßnahmen

Kontrollmaßnahmen werden in Abstimmung zwischen INFINKON und telenetwork definiert und technisch und organisatorisch in die Betriebsabläufe der telenetwork AG eingebunden.

b) Verpflichtung auf Vertraulichkeit gem. Art. 28 Abs. 3 lit. b DSGVO und § 88 TKG

Alle telenetwork Mitarbeiter sind auf Datenschutz / Vertraulichkeit, Fernmeldegeheimnis und zur Verschwiegenheit verpflichtet.

c) Datenschutzanweisungen

Ein Datenschutzbeauftragter ist durch die telenetwork AG bestellt.

d) Datenschutzunterweisungen

telenetwork Mitarbeiter werden regelmäßig zu Themen des Datenschutzes unterwiesen.

Maßnahmen der INFINKON Health AG

  • Auftragsverarbeitungs-Management, Dokumentation des Auftrags und der Verarbeitung
  • Geeignete Auswahl und Vorabprüfung der Dienstleister
  • Fortlaufende Überwachung der Dienstleister

5. Organisationskontrolle

Maßnahmen der INFINKON Health AG

  • Verpflichtung der Mitarbeiter auf das Datengeheimnis (nach Art. 90 DSGVO, § 53 BDSG-neu)
  • Durchführung von Veranstaltungen und Fortbildungen zum Thema Datensicherheit
  • Erarbeitung und regelmäßige Revision der Sicherheitsleitlinien/Verhaltensregeln
  • Regelmäßige Evaluation und Kontrolle der festgelegten Prozesse und Maßnahmen