Technische und Organisatorische Maßnahmen
TOMs nach Art. 32 DSGVO - Schutzmaßnahmen für personenbezogene Daten
TOMs sind Schutzmaßnahmen, die Sie ergreifen müssen, um personenbezogene Daten angemessen zu schützen. Art. 32 DSGVO verpflichtet zur Implementierung unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art der Verarbeitung.
Die 9 TOM-Kategorien
Übersicht
| Kategorie | Schutzziel | Beispiele |
|---|---|---|
| Zutrittskontrolle | Unbefugten physischen Zugang verhindern | Schlüssel, Alarmanlagen, Besucherregelung |
| Zugangskontrolle | Unbefugte Systemnutzung verhindern | Passwörter, 2FA, Sperrmechanismen |
| Zugriffskontrolle | Unbefugten Datenzugriff verhindern | Berechtigungskonzept, Protokollierung |
| Pseudonymisierung | Personenbezug erschweren | Pseudonyme, Tokenisierung |
| Verschlüsselung | Daten bei Zugriff unlesbar machen | TLS, AES, Ende-zu-Ende |
| Integrität | Datenmanipulation erkennen | Prüfsummen, Versionierung |
| Verfügbarkeit | Datenzugriff sicherstellen | Backups, Redundanz, USV |
| Belastbarkeit | Systeme widerstandsfähig machen | Lastverteilung, Failover |
| Wiederherstellung | Nach Störung schnell wiederherstellen | Disaster Recovery, Backup-Tests |
1. Zutrittskontrolle
Ziel: Verhindern, dass Unbefugte physischen Zugang zu Datenverarbeitungsanlagen erhalten.
| Maßnahme | Beschreibung |
|---|---|
| Schließsystem | Schlüssel oder Chipkarten für Serverraum |
| Alarmanlage | Einbruchmeldeanlage mit Aufschaltung |
| Videoüberwachung | Kameraüberwachung sensibler Bereiche |
| Besucherregelung | Protokollierung und Begleitung |
| Reinigungspersonal | Beaufsichtigung oder Sicherheitsüberprüfung |
2. Zugangskontrolle
Ziel: Verhindern, dass Unbefugte IT-Systeme nutzen können.
| Maßnahme | Beschreibung |
|---|---|
| Passwortrichtlinie | Min. 12 Zeichen, Komplexität, regelmäßiger Wechsel |
| Zwei-Faktor-Authentifizierung | TOTP, Hardware-Token oder Push-Benachrichtigung |
| Automatische Bildschirmsperre | Nach 5-10 Minuten Inaktivität |
| Fehlversuchssperre | Sperrung nach 5 Fehlversuchen |
| VPN-Pflicht | Für Remote-Zugriff auf interne Systeme |
3. Zugriffskontrolle
Ziel: Sicherstellen, dass Berechtigte nur auf die für sie bestimmten Daten zugreifen.
| Maßnahme | Beschreibung |
|---|---|
| Berechtigungskonzept | Dokumentierte Rollen und Rechte |
| Need-to-know-Prinzip | Nur notwendige Zugriffsrechte |
| Protokollierung | Wer hat wann auf welche Daten zugegriffen |
| Regelmäßige Überprüfung | Quartalsweise Rechte-Rezertifizierung |
| Sofortige Deaktivierung | Bei Ausscheiden von Mitarbeitern |
4. Pseudonymisierung
Ziel: Personenbezogene Daten so verarbeiten, dass sie ohne Hinzuziehung zusätzlicher Informationen nicht mehr zugeordnet werden können.
| Maßnahme | Beschreibung |
|---|---|
| Pseudonymisierung | Ersetzen identifizierender Merkmale durch Kennzeichen |
| Tokenisierung | Ersetzen sensibler Daten durch nicht-sensible Token |
| Getrennte Speicherung | Zuordnungstabelle separat und geschützt |
5. Verschlüsselung
Ziel: Daten für Unbefugte unlesbar machen.
| Ebene | Maßnahme | Standard |
|---|---|---|
| Transport | TLS 1.3 für alle Verbindungen | TLS 1.2 minimum |
| Speicherung | Festplattenverschlüsselung | AES-256 |
| Datenbank | Transparent Data Encryption | AES-256 |
| S/MIME oder PGP für sensible Inhalte | RSA-2048+ | |
| Backups | Verschlüsselte Backup-Archive | AES-256 |
6. Integrität
Ziel: Sicherstellen, dass Daten unverändert und vollständig sind.
| Maßnahme | Beschreibung |
|---|---|
| Prüfsummen | Hash-Werte zur Integritätsprüfung |
| Versionierung | Änderungshistorie für Dokumente |
| Vier-Augen-Prinzip | Kritische Änderungen nur mit Freigabe |
| Audit-Logs | Unveränderbare Protokollierung |
7. Verfügbarkeit
Ziel: Daten und Systeme müssen verfügbar sein, wenn sie benötigt werden.
| Maßnahme | Beschreibung |
|---|---|
| Regelmäßige Backups | Täglich inkrementell, wöchentlich voll |
| USV | Unterbrechungsfreie Stromversorgung |
| Redundante Systeme | Gespiegelte Server, RAID |
| Klimatisierung | Temperaturüberwachung im Serverraum |
| Brandschutz | Rauchmelder, Löschanlagen |
8. Belastbarkeit
Ziel: Systeme müssen auch unter Last und bei Störungen funktionieren.
| Maßnahme | Beschreibung |
|---|---|
| Lastverteilung | Load Balancer für hohe Verfügbarkeit |
| Auto-Scaling | Automatische Ressourcenanpassung |
| DDoS-Schutz | Schutz vor Überlastungsangriffen |
| Failover | Automatisches Umschalten bei Ausfall |
9. Wiederherstellung
Ziel: Nach einem Vorfall schnell wieder arbeitsfähig sein.
| Maßnahme | Beschreibung |
|---|---|
| Disaster-Recovery-Plan | Dokumentiertes Notfallverfahren |
| Backup-Tests | Regelmäßige Wiederherstellungstests |
| RTO/RPO definiert | Recovery Time/Point Objective festgelegt |
| Notfallübungen | Jährliche Simulation |
Implementierungsstatus
Status-Typen
| Status | Bedeutung | Symbol |
|---|---|---|
| Geplant | Maßnahme vorgesehen, noch nicht begonnen | ○ |
| In Umsetzung | Maßnahme wird aktuell implementiert | ◐ |
| Umgesetzt | Maßnahme vollständig implementiert | ● |
| Nicht anwendbar | Maßnahme für diesen Kontext irrelevant | ⊘ |
TOM pro Standort
TOMs können standortspezifisch sein:
Vorlagen verwenden
Standardvorlagen laden
Klicken Sie auf "Standardwerte laden" für branchenübliche TOMs:
- Basis-TOMs - Mindestanforderungen für alle Unternehmen
- Erweiterte TOMs - Für erhöhten Schutzbedarf
- Cloud-spezifische TOMs - Für Cloud-Nutzung
Standard TOM-Vorlagen
KlarKonform enthält 14 vordefinierte TOM-Vorlagen, die speziell für Microsoft 365 und Cloud-Umgebungen optimiert sind.
Übersicht aller Vorlagen
| Vorlage | Kategorie | Typ | Schutzziele |
|---|---|---|---|
| Microsoft 365 Rechenzentrum-Sicherheit | Zutrittskontrolle | Technisch | Vertraulichkeit, Integrität |
| Multi-Faktor-Authentifizierung (MFA) | Zugangskontrolle | Technisch | Vertraulichkeit |
| Passwort-Richtlinien | Zugangskontrolle | Technisch | Vertraulichkeit |
| Rollenbasierte Zugriffskontrolle (RBAC) | Zugriffskontrolle | Organisatorisch | Vertraulichkeit, Integrität |
| Conditional Access Policies | Zugriffskontrolle | Technisch | Vertraulichkeit |
| Mandantentrennung | Trennungskontrolle | Technisch | Integrität, Vertraulichkeit |
| Verschlüsselung bei Übertragung (TLS) | Weitergabekontrolle | Technisch | Vertraulichkeit, Integrität |
| Data Loss Prevention (DLP) | Weitergabekontrolle | Technisch | Vertraulichkeit |
| Audit-Logging | Eingabekontrolle | Technisch | Integrität |
| Microsoft 365 Backup | Verfügbarkeitskontrolle | Technisch | Verfügbarkeit, Belastbarkeit |
| Geo-Redundante Speicherung | Verfügbarkeitskontrolle | Technisch | Verfügbarkeit |
| Disaster Recovery | Wiederherstellbarkeit | Organisatorisch | Verfügbarkeit, Belastbarkeit |
| Verschlüsselung ruhender Daten | Datenschutz Design | Technisch | Vertraulichkeit |
| Information Protection Labels | Datenschutz Design | Organisatorisch | Vertraulichkeit, Integrität |
Microsoft 365 Rechenzentrum-Sicherheit
Kategorie: Zutrittskontrolle Typ: Technisch Schutzziele: Vertraulichkeit, Integrität
Microsoft betreibt hochsichere Rechenzentren mit mehrschichtigen physischen Sicherheitsmaßnahmen.
Implementierte Maßnahmen:
- Biometrische Zugangskontrollen
- 24/7 Sicherheitspersonal
- Videoüberwachung
- Mantrap-Schleusen
- Umzäunung und Perimeterschutz
Anwendbar auf: Alle Microsoft 365 Dienste
Ihre Verantwortung: Diese TOM wird von Microsoft bereitgestellt. Dokumentieren Sie die Nutzung und verweisen Sie auf die Microsoft Trust Center Dokumentation.
Multi-Faktor-Authentifizierung (MFA)
Kategorie: Zugangskontrolle Typ: Technisch Schutzziele: Vertraulichkeit
MFA erfordert mindestens zwei Authentifizierungsfaktoren für den Zugang zu Systemen.
Implementierungsmöglichkeiten:
- Microsoft Authenticator App (Push-Benachrichtigung)
- TOTP-Codes (Authenticator App)
- SMS-Codes (weniger sicher)
- Hardware-Token (FIDO2)
- Windows Hello for Business
Anwendbar auf: Exchange Online, SharePoint, OneDrive, Teams, alle M365-Apps
Best Practice:
- MFA für alle Benutzer aktivieren
- Bevorzugt passwortlose Methoden (Authenticator, FIDO2)
- SMS nur als Fallback verwenden
Passwort-Richtlinien
Kategorie: Zugangskontrolle Typ: Technisch Schutzziele: Vertraulichkeit
Definierte Anforderungen an Passwörter zum Schutz von Benutzerkonten.
Empfohlene Einstellungen:
- Mindestlänge: 12-14 Zeichen
- Komplexitätsanforderungen: Groß-/Kleinbuchstaben, Zahlen, Sonderzeichen
- Passwort-Historie: Letzte 10-24 Passwörter sperren
- Ablauf: Alle 90-365 Tage (oder nie bei MFA)
- Kontosperrung: Nach 5-10 Fehlversuchen
Anwendbar auf: Azure AD, alle M365-Dienste
Microsoft-Empfehlung: Bei aktiviertem MFA kann auf regelmäßigen Passwortwechsel verzichtet werden.
Rollenbasierte Zugriffskontrolle (RBAC)
Kategorie: Zugriffskontrolle Typ: Organisatorisch Schutzziele: Vertraulichkeit, Integrität
Berechtigungen werden über Rollen statt individuell vergeben.
Prinzipien:
- Least Privilege: Nur minimale Rechte vergeben
- Separation of Duties: Kritische Aufgaben auf mehrere Personen verteilen
- Need-to-know: Zugriff nur bei dienstlicher Notwendigkeit
Typische Rollen in M365:
| Rolle | Berechtigungen |
|---|---|
| Global Admin | Vollzugriff (nur 2-3 Personen) |
| Exchange Admin | E-Mail-Verwaltung |
| SharePoint Admin | Site-Verwaltung |
| User Admin | Benutzerverwaltung |
| Helpdesk Admin | Passwort-Resets |
Anwendbar auf: Azure AD, Exchange, SharePoint, Teams
Conditional Access Policies
Kategorie: Zugriffskontrolle Typ: Technisch Schutzziele: Vertraulichkeit
Bedingte Zugriffsregeln basierend auf Kontext wie Standort, Gerät, Risiko und Anwendung.
Typische Regeln:
| Bedingung | Aktion |
|---|---|
| Zugriff von außerhalb des Firmennetzwerks | MFA erzwingen |
| Nicht-konformes Gerät | Zugriff blockieren |
| Hochriskanter Benutzer | Passwortwechsel erzwingen |
| Zugriff auf sensible Apps | Verwaltetes Gerät erforderlich |
| Unmögliche Reise erkannt | Sitzung blockieren |
Beispiel-Policies:
-
Standortbasierte Regeln
- Zugriff nur aus Deutschland erlauben
- Bestimmte Länder blockieren
-
Gerätecompliance-Prüfung
- Nur verwaltete Geräte (Intune)
- Aktuelles Betriebssystem erforderlich
- Verschlüsselung aktiv
-
Risikobasierte Authentifizierung
- Bei erhöhtem Anmelderisiko: MFA
- Bei hohem Risiko: Zugriff blockieren
-
App-spezifische Regeln
- Für Azure Portal: Nur Admin-Geräte
- Für Teams: Browser-Zugriff einschränken
Anwendbar auf: Exchange Online, SharePoint, OneDrive, Teams
Konfiguration: Azure AD > Security > Conditional Access
Mandantentrennung (Tenant Isolation)
Kategorie: Trennungskontrolle Typ: Technisch Schutzziele: Integrität, Vertraulichkeit
Logische Trennung der Daten verschiedener Organisationen in Microsoft 365.
Microsoft-Garantien:
- Jeder Mandant hat eigene Datenpartition
- Keine Cross-Tenant-Datenzugriffe möglich
- Separate Verschlüsselungsschlüssel pro Tenant
- Isolierte Active Directory-Instanz
Ihre Verantwortung:
- B2B-Gastbenutzer kontrollieren
- Externe Freigaben überwachen
- Cross-Tenant-Policies konfigurieren
Anwendbar auf: Alle M365-Dienste
Verschlüsselung bei Übertragung (TLS)
Kategorie: Weitergabekontrolle Typ: Technisch Schutzziele: Vertraulichkeit, Integrität
Alle Datenübertragungen zu und von Microsoft 365 sind verschlüsselt.
Standards:
- TLS 1.2 als Minimum (TLS 1.0/1.1 deaktiviert)
- TLS 1.3 für neue Verbindungen
- Perfect Forward Secrecy (PFS)
- Starke Cipher Suites (AES-256-GCM)
Abgedeckte Verbindungen:
- Client zu M365 (Outlook, Teams, Browser)
- M365 zu M365 (interne Dienste)
- M365 zu On-Premises (Hybrid)
- SMTP zwischen Mailservern (opportunistisch)
Zusätzliche Option: Office 365 Message Encryption für E-Mail-Inhalte
Anwendbar auf: Exchange, SharePoint, OneDrive, Teams
Data Loss Prevention (DLP)
Kategorie: Weitergabekontrolle Typ: Technisch Schutzziele: Vertraulichkeit
Automatische Erkennung und Schutz sensibler Daten vor unbeabsichtigter Weitergabe.
Erkennbare Datentypen:
- Kreditkartennummern
- Sozialversicherungsnummern
- Bankverbindungen (IBAN)
- Personalausweisnummern
- Gesundheitsdaten
- Benutzerdefinierte Muster (RegEx)
Schutzaktionen:
| Aktion | Beschreibung |
|---|---|
| Blockieren | Weitergabe verhindern |
| Warnen | Benutzer informieren, Weitergabe möglich |
| Verschlüsseln | Automatisch Rights Management anwenden |
| Benachrichtigen | Administrator informieren |
| Protokollieren | Im Audit-Log erfassen |
Anwendbar auf: Exchange Online, SharePoint, OneDrive, Teams, Endpoint (Windows)
Audit-Logging
Kategorie: Eingabekontrolle Typ: Technisch Schutzziele: Integrität
Protokollierung aller relevanten Aktivitäten für Nachvollziehbarkeit und Forensik.
Protokollierte Ereignisse:
- Benutzeranmeldungen (erfolgreich/fehlgeschlagen)
- Dateizugriffe und -änderungen
- E-Mail-Aktivitäten
- Admin-Aktionen
- Sicherheitsereignisse
- DLP-Matches
Aufbewahrung:
| Lizenz | Standard-Aufbewahrung |
|---|---|
| E3 | 90 Tage |
| E5 | 1 Jahr |
| E5 + Advanced Audit | 10 Jahre |
Zugriff: Microsoft Purview > Audit
Anwendbar auf: Alle M365-Dienste
Microsoft 365 Backup (KlarKonform)
Kategorie: Verfügbarkeitskontrolle Typ: Technisch Schutzziele: Verfügbarkeit, Belastbarkeit
Regelmäßige Sicherung aller Microsoft 365-Daten durch KlarKonform Backup-Modul.
Gesicherte Daten:
- Exchange Online (E-Mails, Kalender, Kontakte)
- SharePoint Online (Dokumente, Sites)
- OneDrive for Business (Benutzerdateien)
- Teams (Chat-Historie über Exchange)
Funktionen:
- Inkrementelle Backups (nur geänderte Dateien)
- Point-in-Time-Recovery
- Granulare Wiederherstellung (einzelne E-Mails/Dateien)
- Unabhängiger Speicherort (S3, SFTP)
- Langzeitarchivierung (bis 10 Jahre)
Warum zusätzliches Backup? Microsoft garantiert Infrastruktur-Verfügbarkeit, aber:
- Versehentlich gelöschte Daten nur 93 Tage wiederherstellbar
- Kein Schutz vor Ransomware-Verschlüsselung
- Keine Langzeitarchivierung
Anwendbar auf: Exchange, SharePoint, OneDrive
Siehe auch: Backup-Modul Dokumentation
Geo-Redundante Speicherung
Kategorie: Verfügbarkeitskontrolle Typ: Technisch Schutzziele: Verfügbarkeit
Daten werden automatisch über mehrere Rechenzentren repliziert.
Microsoft-Implementierung:
- Daten in mindestens 2 Rechenzentren
- Automatisches Failover bei Ausfall
- Replikation innerhalb der Region (z.B. EU)
- RPO: Nahezu 0 (synchrone Replikation)
Rechenzentrumspaare für EU:
- Dublin / Amsterdam
- Frankfurt / Berlin (in Planung)
- Paris / Marseille
Ihre Verantwortung: Dokumentieren Sie die Geo-Redundanz als TOM und prüfen Sie die Datenresidenz.
Anwendbar auf: Alle M365-Dienste
Disaster Recovery
Kategorie: Wiederherstellbarkeit Typ: Organisatorisch Schutzziele: Verfügbarkeit, Belastbarkeit
Geplante Vorgehensweise zur Wiederherstellung nach schwerwiegenden Störungen.
Ihre Aufgaben:
-
Disaster Recovery Plan erstellen
- Kritische Systeme identifizieren
- RTO/RPO definieren
- Verantwortlichkeiten festlegen
- Kommunikationswege definieren
-
Regelmäßige Tests
- Jährliche DR-Übung
- Wiederherstellungstests
- Dokumentation der Ergebnisse
-
Microsoft-seitige DR
- Automatisches Failover dokumentieren
- SLA kennen (99,9% Verfügbarkeit)
- Support-Prozesse verstehen
Anwendbar auf: Alle M365-Dienste, KlarKonform
Verschlüsselung ruhender Daten
Kategorie: Datenschutz Design Typ: Technisch Schutzziele: Vertraulichkeit
Alle in Microsoft 365 gespeicherten Daten sind verschlüsselt.
Verschlüsselungsebenen:
| Ebene | Methode |
|---|---|
| Festplatte | BitLocker (AES-256) |
| Datei | Per-File Encryption |
| Datenbank | Transparent Data Encryption |
| Backup | Verschlüsselte Backups |
Schlüsselverwaltung:
- Standard: Microsoft-verwaltete Schlüssel
- Optional: Customer Key (eigene Schlüssel in Azure Key Vault)
- Optional: Double Key Encryption (höchste Kontrolle)
Anwendbar auf: Exchange, SharePoint, OneDrive, Teams
Information Protection Labels (Sensitivity Labels)
Kategorie: Datenschutz Design Typ: Organisatorisch Schutzziele: Vertraulichkeit, Integrität
Klassifizierung und Schutz von Dokumenten und E-Mails basierend auf Sensitivität.
Typische Klassifizierungen:
| Label | Beschreibung | Schutzmaßnahmen |
|---|---|---|
| Öffentlich | Frei verfügbar | Keine Einschränkungen |
| Intern | Nur für Mitarbeiter | Externe Freigabe blockiert |
| Vertraulich | Sensible Geschäftsdaten | Verschlüsselung, Wasserzeichen |
| Streng Vertraulich | Höchste Geheimhaltung | Verschlüsselung, kein Kopieren/Drucken |
Funktionen:
- Manuelle oder automatische Klassifizierung
- Visuelle Markierungen (Header, Footer, Wasserzeichen)
- Verschlüsselung und Rechteverwaltung
- Vererbung an Inhalte
Anwendbar auf: Exchange, SharePoint, OneDrive, Office-Apps
TOM-Empfehlungen nach Standorttyp
Je nach Arbeitsumgebung werden unterschiedliche TOMs empfohlen:
Bürostandort
- Microsoft 365 Rechenzentrum-Sicherheit
- Multi-Faktor-Authentifizierung
- Rollenbasierte Zugriffskontrolle
- Audit-Logging
- Verschlüsselung bei Übertragung
Home Office
- Multi-Faktor-Authentifizierung
- Passwort-Richtlinien
- Conditional Access Policies (besonders wichtig!)
- Verschlüsselung bei Übertragung
- Data Loss Prevention
Coworking Space
- Multi-Faktor-Authentifizierung
- Passwort-Richtlinien
- Verschlüsselung bei Übertragung
- Data Loss Prevention
- Conditional Access Policies
Rechenzentrum
- Microsoft 365 Rechenzentrum-Sicherheit
- Geo-Redundante Speicherung
- Disaster Recovery
- Verschlüsselung ruhender Daten
- Audit-Logging
Compliance-Score Einfluss
Der TOM-Bereich beeinflusst 20% des Compliance-Scores:
Bewertungskriterien:
- Alle 9 Kategorien abgedeckt?
- Implementierungsstatus > 80% "Umgesetzt"?
- Dokumentation vollständig?
- Regelmäßige Überprüfung nachgewiesen?
Nachweisführung
Für jeden TOM sollten Sie dokumentieren:
| Nachweis | Beispiel |
|---|---|
| Richtlinie | IT-Sicherheitsrichtlinie v2.3 |
| Protokoll | Penetrationstest vom 15.01.2025 |
| Zertifikat | ISO 27001 Zertifikat |
| Screenshot | Konfiguration Firewall |
| Vertrag | SLA mit Provider |
Regelmäßige Überprüfung
TOMs müssen regelmäßig auf Wirksamkeit geprüft werden:
- Jährliche Überprüfung aller TOMs
- Nach Sicherheitsvorfällen
- Bei Änderungen der Risikolage
- Bei neuen Technologien
- Bei Gesetzesänderungen