Checkliste: Datensicherheit durch Datenschutz

Das BayLDA berichtet von einer steigenden Zahl von Cybervorfällen bei bayerischen Unternehmen – von kompromittierten E-Mail-Accounts über gezielte Spear-Phishing-Angriffe bis hin zu gravierenden Verschlüsselungs- und Erpressungsszenarien. Die wirtschaftlichen Schäden sind erheblich, die datenschutzrechtlichen Folgen für betroffene Personen häufig kaum mehr überschaubar. In Reaktion darauf verfolgt die BayLDA das Ziel, das bestehende Präventionsprogramm konsequent auszubauen und auf zentrale Schutzmaßnahmen hinzuweisen – mit dem Leitbild einer „uneinnehmbaren Festung“.

Kerndokument: „Checkliste Cyberfestung – 10 Punkte für mehr Datensicherheit“

Die Checkliste (nach Art. 32 DS-GVO) dient als Good-Practice-Instrument zur Soll-Ist-Analyse technischer und organisatorischer Schutzmaßnahmen.
Die zehn Schwerpunktbereiche sind:

1. Netzwerkperimeter und Angriffsmöglichkeiten ermitteln – Dazu gehören Inventarisierung interner und externer Komponenten, Cloud-Dienste sowie regelmäßige Port-/Netzwerkscans.
2. Mehrfaktor-Authentifizierung (MFA) einsetzen – Insbesondere für Administratoren, Cloud-Dienste, VPN-Zugänge; plus Protokollierung und Schulung.
3. Umgang mit lokalen Administratorkonten regeln – Minimierung von Konten, differenzierte Passwörter, Protokollierung, ggf. Just-in-Time-Zugänge.
4. PowerShell-Skripte einschränken – Restriktiver Einsatz, Whitelisting, Signaturpflicht, Protokollierung.
5. Netzwerksegmentierung nutzen – Aufteilung des Netzwerks in Zonen, interne Firewalls, Dokumentation, Zero-Trust-Prinzipien.
6. Zentralen Internetübergangspunkt überwachen – Einsatz von NGFW, DNS-Filterung, E-Mail-Gateways, SIEM/IDS/IPS, Egress-Filtering, TLS/SSL-Inspection.
7. Ransomware-sichere Backups verwenden – Umsetzung der 3-2-1-Regel, Offline- und WORM-Lösungen, Testwiederherstellungen, Verschlüsselung.
8. Awareness und Social Engineering thematisieren – Regelmäßige Schulungen, Phishing-Simulationen, Meldeprozesse, Sensibilisierung für KI-gestützte Angriffe.
9. Software-Updates durchführen – Patch-Management mit Inventarisierung, Priorisierung nach Risiko, Testumgebung, automatisierte Verteilung.
10. Domain Controller absichern – (Im Dokument vertieft, z. B. Härtung von Domänen­controllern, Bewegungs­überwachung; nicht im Überblicks­abschnitt gelistet)

Die BayLDA betont, dass diese Checkliste nicht als abschließend zu verstehen ist, sondern als Orientierung für eine individuelle Risikobetrachtung innerhalb der eigenen Organisation.

Bedeutung für den Datenschutz-Verantwortlichen

Für Datenschutzbeauftragte (DSB) oder Verantwortliche heißt dies konkret:

• Die genannten Maßnahmen unterstützen nicht nur die IT-Sicherheit, sondern tragen entscheidend zur Erfüllung der Pflicht nach Art. 32 DS-GVO (Sicherheit der Verarbeitung) bei.
• Sie bieten eine strukturierte Vorlage zur internen Kontrolle und Dokumentation der Schutzmaßnahmen gegenüber Aufsichtsbehörde oder Audit.
• Die Orientierung an der „Festung“-Metapher verdeutlicht, dass nicht eine einzelne Maßnahme ausschlaggebend ist, sondern ein mehrschichtiges Konzept (Defense in Depth) zur resilienten Verteidigung.

(Foto: Kaniz Fatema – stock.adobe.com)