Brain-Media.de/Compliance-Lexikon/Confidentiality/Praxis
Ebene 1 · DefinitionEbene 2 · PraxisEbene 3 · Strategie

Compliance-Lexikon · Praxis

Confidentiality – Praxis

Vertraulichkeit ist im Audit der Pruefpunkt mit den meisten Einzelfunden: zu breite Zugriffsrechte, fehlende Verschluesselung, unklassifizierte Daten, mangelnde Protokollierung. Was Auditoren systematisch pruefen, zeigt dieser Abschnitt.

Was Auditoren konkret pruefen

Bei einer Pruefung von Confidentiality prueft der Auditor, ob alle vertraulichen Informationen klassifiziert, durch Zugriffskontrolle und Verschluesselung geschuetzt und Zugriffe protokolliert sind. Das BAM-Objekt CROSS-CF-01 definiert, was konkret vorgelegt werden muss.

BAM-Objekt · Praxis CROSS-CF-01
Gap-CheckSind alle vertraulichen Daten klassifiziert, verschluesselt und mit Zugriffskontrollen gesichert?
RemediationVollstaendiges Inventar vertraulicher Daten mit Schutznachweis pro Kategorie
EvidenceDatierter Nachweis: Klassifizierung, Verschluesselungsstatus und Zugriffskontrollprotokoll.

Haeufige Fehler

  • Gruppenaccounts – kein individueller Nachweis, wer auf vertrauliche Daten zugegriffen hat
  • Ex-Mitarbeiter-Accounts nicht zeitnah deaktiviert
  • Vertrauliche Daten in nicht-verschluesselten Cloud-Ablagen
  • Keine Klassifizierungskennzeichnung auf Dokumenten

Praxis-Tipp

Fuer Confidentiality gilt: Zugriffsrechte nach dem Need-to-know-Prinzip sind staerker als Verschluesselung allein. Wer das interne Netz verlassen muss, um auf Daten zuzugreifen, hat bereits ein Zugriffskontroll-Problem – unabhaengig davon, ob die Verbindung verschluesselt ist.

Umsetzung Schritt fuer Schritt

Erster Schritt: Alle vertraulichen Informationen klassifizieren (oeffentlich, intern, vertraulich, streng vertraulich). Zweiter Schritt: Zugriffsrechte nach Least Privilege und Need to Know einrichten. Dritter Schritt: Verschluesselung bei Speicherung und Uebertragung fuer alle vertraulichen Daten implementieren. Vierter Schritt: Zugriffsprotokollierung aktivieren. Fuenfter Schritt: Regelmaessige Zugriffsrechte-Pruefung durchfuehren und dokumentieren.

Evidence-Anforderungen im Audit

Der Auditor erwartet: Klassifizierungsdokumentation, Zugriffsrechte-Inventar mit Begruendungen, Verschluesselungsnachweis fuer vertrauliche Datenkategorien, Protokollauszuege der letzten Zugriffsrechte-Pruefung und Nachweis der zeitnahen Deaktivierung ausgeschiedener Mitarbeiter-Accounts.

Naechster Schritt

Stresstest starten

Kostenloser Compliance-Stresstest – DSGVO und NIS-2 in 20 Minuten.

Die strategische Einordnung – warum Confidentiality langfristig mehr als ein Zugriffsschutzthema ist – findet sich auf Ebene 3.

Compliance läuft. Oder sie läuft nicht.

Testen Sie kostenlos, wo Ihre Compliance heute steht.

Stresstest starten Whitepaper