Checkliste: Datensicherheit durch Datenschutz

Datensicherheit durch Datenschutz

Das BayLDA berichtet von einer steigenden Zahl von Cybervorfällen bei bayerischen Unternehmen – von kompromittierten E-Mail-Accounts über gezielte Spear-Phishing-Angriffe bis hin zu gravierenden Verschlüsselungs- und Erpressungsszenarien. Die wirtschaftlichen Schäden sind erheblich, die datenschutzrechtlichen Folgen für betroffene Personen häufig kaum mehr überschaubar. In Reaktion darauf verfolgt die BayLDA das Ziel, das bestehende Präventionsprogramm konsequent auszubauen und auf zentrale Schutzmaßnahmen hinzuweisen – mit dem Leitbild einer „uneinnehmbaren Festung“.

Kerndokument: „Checkliste Cyberfestung – 10 Punkte für mehr Datensicherheit“

Die Checkliste (nach Art. 32 DS-GVO) dient als Good-Practice-Instrument zur Soll-Ist-Analyse technischer und organisatorischer Schutzmaßnahmen.
Die zehn Schwerpunktbereiche sind:

  1. Netzwerkperimeter und Angriffsmöglichkeiten ermitteln – Dazu gehören Inventarisierung interner und externer Komponenten, Cloud-Dienste sowie regelmäßige Port-/Netzwerkscans.
  2. Mehrfaktor-Authentifizierung (MFA) einsetzen – Insbesondere für Administratoren, Cloud-Dienste, VPN-Zugänge; plus Protokollierung und Schulung.
  3. Umgang mit lokalen Administratorkonten regeln – Minimierung von Konten, differenzierte Passwörter, Protokollierung, ggf. Just-in-Time-Zugänge.
  4. PowerShell-Skripte einschränken – Restriktiver Einsatz, Whitelisting, Signaturpflicht, Protokollierung.
  5. Netzwerksegmentierung nutzen – Aufteilung des Netzwerks in Zonen, interne Firewalls, Dokumentation, Zero-Trust-Prinzipien.
  6. Zentralen Internetübergangspunkt überwachen – Einsatz von NGFW, DNS-Filterung, E-Mail-Gateways, SIEM/IDS/IPS, Egress-Filtering, TLS/SSL-Inspection.
  7. Ransomware-sichere Backups verwenden – Umsetzung der 3-2-1-Regel, Offline- und WORM-Lösungen, Testwiederherstellungen, Verschlüsselung.
  8. Awareness und Social Engineering thematisieren – Regelmäßige Schulungen, Phishing-Simulationen, Meldeprozesse, Sensibilisierung für KI-gestützte Angriffe.
  9. Software-Updates durchführen – Patch-Management mit Inventarisierung, Priorisierung nach Risiko, Testumgebung, automatisierte Verteilung.
  10. Domain Controller absichern – (Im Dokument vertieft, z. B. Härtung von Domänen­controllern, Bewegungs­überwachung; nicht im Überblicks­abschnitt gelistet)

Die BayLDA betont, dass diese Checkliste nicht als abschließend zu verstehen ist, sondern als Orientierung für eine individuelle Risikobetrachtung innerhalb der eigenen Organisation.

Bedeutung für den Datenschutz-Verantwortlichen

Für Datenschutzbeauftragte (DSB) oder Verantwortliche heißt dies konkret:

  • Die genannten Maßnahmen unterstützen nicht nur die IT-Sicherheit, sondern tragen entscheidend zur Erfüllung der Pflicht nach Art. 32 DS-GVO (Sicherheit der Verarbeitung) bei.
  • Sie bieten eine strukturierte Vorlage zur internen Kontrolle und Dokumentation der Schutzmaßnahmen gegenüber Aufsichtsbehörde oder Audit.
  • Die Orientierung an der „Festung“-Metapher verdeutlicht, dass nicht eine einzelne Maßnahme ausschlaggebend ist, sondern ein mehrschichtiges Konzept (Defense in Depth) zur resilienten Verteidigung.

(Foto: Kaniz Fatema – stock.adobe.com)

Letztes Update:08.11.25

  • Vier Expertenporträts und Logo des Data Agenda Podcasts, Folge 94 mit Prof. Dr. Schwartmann, Markus Beckedahl, Lucia Burkhardt und Felix Sahm.

    Folge 94: KI-Reallabore, Kinder und Gesundheit

    Die unabhängige Expertenkommission „Kinder- und Jugendschutz in der digitalen Welt“ hat am 24. Juni 2026 ihre Handlungsempfehlungen vorgelegt. Der Bericht trägt den Titel „Entwicklung stärken, Verantwortung übernehmen“ und befasst sich insbesondere mit den Auswirkungen Künstlicher Intelligenz auf Kinder und Jugendliche. Markus Beckedahl, der Gründer des Zentrums für Digitalrechte und Demokratie, diskutiert das „KI-Seepferdchen“ (HE 12),

    Mehr erfahren
  • Datenschutz Entbürokratisierung

    Koalitionsausschuss beschließt „Vereinfachung“ des Datenschutzrechts

    Koalitionsausschuss beschließt Vereinfachung des Datenschutzrechts Im Rahmen des am 2. Juli 2026 vorgestellten Reformpakets „Ein Programm für Aufschwung und Beschäftigung“ haben CDU/CSU und SPD unter Punkt 14 weitreichende Änderungen im Bereich Datenschutz angekündigt. Unter der Überschrift „Moderner Datenschutz für mehr Wachstum“ kündigt die Koalition an, den nationalen Datenschutz zu vereinfachen und die in der DS-GVO

    Mehr erfahren
  • Online Recruiting Datenschutzhinweis Transparenz

    Datenschutzverstoß beim Online-Recruiting

    Informationspflicht bei Datenerhebung aus Drittquellen Werden personenbezogene Daten nicht direkt bei der betroffenen Person erhoben, sondern aus Drittquellen wie öffentlich einsehbaren Profilen, greift die strengere Informationspflicht des Art. 14 DS-GVO statt der milderen Regelung des Art. 13 DS-GVO. Verantwortliche müssen der betroffenen Person dann von sich aus mitteilen, woher die Daten stammen, zu welchem Zweck

    Mehr erfahren
WordPress Cookie Hinweis von Real Cookie Banner