Leitfaden für „moderne verteidigungsfähige IT-Architektur“
Das BSI hat Anfang November 2025 einen neuen Leitfaden veröffentlicht, der unter dem Begriff Modern Defensible Architecture (MDA) firmiert. Ziel ist es, Organisationen (öffentliche wie private) eine praxisnahe Orientierung für den Aufbau und Betrieb sicherer, resilienter IT‑Architekturen zu geben.
Warum MDA wichtig ist
In Zeiten zunehmender Cyberbedrohungen und wachsender Komplexität digitaler Infrastrukturen reichen traditionelle Sicherheitskonzepte oft nicht mehr aus. MDA verknüpft deshalb Architekturprinzipien mit aktuellen Sicherheitsanforderungen: Das schließt etwa eine segmentierte, mehrschichtige Architektur („Defense in Depth“), Zero‑Trust‑Ansätze, sichere Standardkonfigurationen und nachvollziehbare Verantwortlichkeiten mit ein.
Der Leitfaden stützt sich auf internationale Best‑Practice‑Empfehlungen und berücksichtigt moderne Bedrohungsszenarien sowie Anforderungen aus Regulierung und Compliance.
Empfehlung für Datenschutz- und Sicherheitsverantwortliche
Für Datenschutzbeauftragte, IT‑Sicherheitsverantwortliche und Compliance‑Verantwortliche ergibt sich mit MDA ein konkretes Handlungsfeld:
- Bei der Planung, Umstrukturierung oder Erweiterung von IT‑Systemen sollte MDA als Referenzrahmen genutzt werden.
- Insbesondere bei kritischen Systemen, Cloud‑Umgebungen, Netzwerken mit vielen Schnittstellen oder sensiblen Daten sollte eine Architektur nach MDA‑Prinzipien zu Grunde gelegt werden – nicht erst nachträglich Ergänzungen geplant.
- MDA kann helfen, technische Risikoanalysen, Sicherheitskonzepte und Compliance‑Nachweise besser zu strukturieren und mit organisatorischen Schutzmaßnahmen zu verzahnen.
Bedeutung für Datenschutz und Governance
Mit der Veröffentlichung signalisiert das BSI, dass IT‑Sicherheit und Datenschutz zunehmend als integrale Bestandteile von Systemarchitektur und Governance verstanden werden müssen – nicht als add-on. MDA liefert dafür ein Rahmenwerk, das technische, organisatorische und strategische Aspekte verbindet. Für Organisationen, die personenbezogene oder besonders schützenswerte Daten verarbeiten, kann eine frühe Umsetzung nach MDA Grundvoraussetzung für einen nachhaltigen und regelkonformen Betrieb werden.
(Foto: Fagner Felix – stock.adobe.com)
Das könnte Sie auch interessieren
-
Datenschutz in der medizinischen Forschung
Ddie Deutsche Gesellschaft für Innere Medizin (DGIM) und der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) haben im Dezember 2025 einen gemeinsam erarbeiteten Leitfaden zur datenschutzkonformen Nutzung von Gesundheitsdaten in der medizinischen Forschung vorgelegt. Ziel ist es, Forschenden eine praxisnahe und rechtssichere Anleitung zu bieten, damit Studien mit sensiblen Patientendaten im Einklang mit der Datenschutz‑Grundverordnung
Mehr erfahren -
Sechs Empfehlungen für eine vertrauenswürdige ePA
Die Datenschutzbehörde des Landes Rheinland‑Pfalz und die Verbraucherzentrale Rheinland-Pfalz haben am 6. November 2025 mit der „Mainzer Erklärung“ sechs zentrale Anforderungen formuliert, die nach ihrer Auffassung erfüllt sein müssen, damit die elektronische Patientenakte (ePA) in Deutschland datenschutzgerecht, nutzerfreundlich und alltagstauglich umgesetzt wird. Zielsetzung der Erklärung Die Initiatoren betonen, dass die ePA nur dann erfolgreich sein
Mehr erfahren -
EuGH nimmt Hosting‑Anbieter stärker in die Pflicht
Der EuGH hat mit Urteil vom 2. Dezember 2025 in der Rechtssache Russmedia (C-492/23) entschieden, dass Betreiber von Online‑Marktplätzen datenschutzrechtlich als „Verantwortliche“ für personenbezogene Daten gelten, die Nutzer*innen über ihre Plattform veröffentlichen – selbst dann, wenn sie selbst den Inhalt nicht erstellt haben. Damit wird klargestellt, dass das bisher oft herangezogene Haftungsprivileg für Hosting‑Anbieter nach
Mehr erfahren
