Checkliste: Datensicherheit durch Datenschutz
Das BayLDA berichtet von einer steigenden Zahl von Cybervorfällen bei bayerischen Unternehmen – von kompromittierten E-Mail-Accounts über gezielte Spear-Phishing-Angriffe bis hin zu gravierenden Verschlüsselungs- und Erpressungsszenarien. Die wirtschaftlichen Schäden sind erheblich, die datenschutzrechtlichen Folgen für betroffene Personen häufig kaum mehr überschaubar. In Reaktion darauf verfolgt die BayLDA das Ziel, das bestehende Präventionsprogramm konsequent auszubauen und auf zentrale Schutzmaßnahmen hinzuweisen – mit dem Leitbild einer „uneinnehmbaren Festung“.
Kerndokument: „Checkliste Cyberfestung – 10 Punkte für mehr Datensicherheit“
Die Checkliste (nach Art. 32 DS-GVO) dient als Good-Practice-Instrument zur Soll-Ist-Analyse technischer und organisatorischer Schutzmaßnahmen.
Die zehn Schwerpunktbereiche sind:
- Netzwerkperimeter und Angriffsmöglichkeiten ermitteln – Dazu gehören Inventarisierung interner und externer Komponenten, Cloud-Dienste sowie regelmäßige Port-/Netzwerkscans.
- Mehrfaktor-Authentifizierung (MFA) einsetzen – Insbesondere für Administratoren, Cloud-Dienste, VPN-Zugänge; plus Protokollierung und Schulung.
- Umgang mit lokalen Administratorkonten regeln – Minimierung von Konten, differenzierte Passwörter, Protokollierung, ggf. Just-in-Time-Zugänge.
- PowerShell-Skripte einschränken – Restriktiver Einsatz, Whitelisting, Signaturpflicht, Protokollierung.
- Netzwerksegmentierung nutzen – Aufteilung des Netzwerks in Zonen, interne Firewalls, Dokumentation, Zero-Trust-Prinzipien.
- Zentralen Internetübergangspunkt überwachen – Einsatz von NGFW, DNS-Filterung, E-Mail-Gateways, SIEM/IDS/IPS, Egress-Filtering, TLS/SSL-Inspection.
- Ransomware-sichere Backups verwenden – Umsetzung der 3-2-1-Regel, Offline- und WORM-Lösungen, Testwiederherstellungen, Verschlüsselung.
- Awareness und Social Engineering thematisieren – Regelmäßige Schulungen, Phishing-Simulationen, Meldeprozesse, Sensibilisierung für KI-gestützte Angriffe.
- Software-Updates durchführen – Patch-Management mit Inventarisierung, Priorisierung nach Risiko, Testumgebung, automatisierte Verteilung.
- Domain Controller absichern – (Im Dokument vertieft, z. B. Härtung von Domänencontrollern, Bewegungsüberwachung; nicht im Überblicksabschnitt gelistet)
Die BayLDA betont, dass diese Checkliste nicht als abschließend zu verstehen ist, sondern als Orientierung für eine individuelle Risikobetrachtung innerhalb der eigenen Organisation.
Bedeutung für den Datenschutz-Verantwortlichen
Für Datenschutzbeauftragte (DSB) oder Verantwortliche heißt dies konkret:
- Die genannten Maßnahmen unterstützen nicht nur die IT-Sicherheit, sondern tragen entscheidend zur Erfüllung der Pflicht nach Art. 32 DS-GVO (Sicherheit der Verarbeitung) bei.
- Sie bieten eine strukturierte Vorlage zur internen Kontrolle und Dokumentation der Schutzmaßnahmen gegenüber Aufsichtsbehörde oder Audit.
- Die Orientierung an der „Festung“-Metapher verdeutlicht, dass nicht eine einzelne Maßnahme ausschlaggebend ist, sondern ein mehrschichtiges Konzept (Defense in Depth) zur resilienten Verteidigung.
(Foto: Kaniz Fatema – stock.adobe.com)
Letztes Update:08.11.25
Verwandte Produkte
-
0,00 € Mehr erfahren
-
0,00 € Mehr erfahren
-
0,00 € Mehr erfahren
Das könnte Sie auch interessieren
-
Folge 94: KI-Reallabore, Kinder und Gesundheit
Die unabhängige Expertenkommission „Kinder- und Jugendschutz in der digitalen Welt“ hat am 24. Juni 2026 ihre Handlungsempfehlungen vorgelegt. Der Bericht trägt den Titel „Entwicklung stärken, Verantwortung übernehmen“ und befasst sich insbesondere mit den Auswirkungen Künstlicher Intelligenz auf Kinder und Jugendliche. Markus Beckedahl, der Gründer des Zentrums für Digitalrechte und Demokratie, diskutiert das „KI-Seepferdchen“ (HE 12),
Mehr erfahren -
Koalitionsausschuss beschließt „Vereinfachung“ des Datenschutzrechts
Koalitionsausschuss beschließt Vereinfachung des Datenschutzrechts Im Rahmen des am 2. Juli 2026 vorgestellten Reformpakets „Ein Programm für Aufschwung und Beschäftigung“ haben CDU/CSU und SPD unter Punkt 14 weitreichende Änderungen im Bereich Datenschutz angekündigt. Unter der Überschrift „Moderner Datenschutz für mehr Wachstum“ kündigt die Koalition an, den nationalen Datenschutz zu vereinfachen und die in der DS-GVO
Mehr erfahren -
Datenschutzverstoß beim Online-Recruiting
Informationspflicht bei Datenerhebung aus Drittquellen Werden personenbezogene Daten nicht direkt bei der betroffenen Person erhoben, sondern aus Drittquellen wie öffentlich einsehbaren Profilen, greift die strengere Informationspflicht des Art. 14 DS-GVO statt der milderen Regelung des Art. 13 DS-GVO. Verantwortliche müssen der betroffenen Person dann von sich aus mitteilen, woher die Daten stammen, zu welchem Zweck
Mehr erfahren

