Blog-Layout

DSGVO-gerechte Systemhärtung. 13 Tipps für eine sichere IT

Eberhard Häcker • Juni 07, 2024

Der kleine feine Datentipp

Lesezeit: ca. 8 Minuten

Das beste Schutz gegen Angriffe auf die Unternehmens-IT ist die Härtung der Systeme – also die gezielte Absicherung von Rechnern, Servern und anderen Komponenten. Wie das geht, verrät der Datentipp!

Systemhärtung zielgerichtet angehen

IT und ihre Tücken

Computer, Laptops, Tablets, Smartphones, Router, Drucker – sie alle haben zu Beginn bestimmte Werkseinstellungen. Wie die Hersteller das eben für richtig halten. Oder wie es wenig Aufwand verursacht. Mit anderen Worten: Man muss sich selbst darum kümmern. Und da fängt die Herausforderung an: Wer keine Maßnahmen ergreift, riskiert Sicherheitslücken.

Was ist systemisches Härten?

Eine möglichst sichere Konfiguration von informationstechnischen Systemen wird als Systemhärtung bezeichnet, System Hardening im Englischen. Systemhärtung betrifft Geräte und Systeme aller Art: Server, Netzwerke, PCs, Notebooks, Tablets, Smartphones ebenso wie Drucker, Produktionsmaschinen mit IT-Komponenten und die smarte Kaffeemaschine in der Kantine.

Welches Ziel hat die Systemhärtung?

Das Ziel ist klar: Mit angemessenen Maßnahmen der Systemhärtung erkennen Sie Sicherheitsrisiken und verhindern, dass diese zu Sicherheits- oder Datenschutzvorfällen werden.

Wie lange dauert das Härten der Systeme?

Eine Frage, die mancher sich stellt: Wie aufwendig wird das mit der Systemhärtung? Wie lange dauert es? Eines muss klar sein: Systemhärtung ist kein einmaliges Projekt. Wer IT im Einsatz hat, muss regelmäßig prüfen, ob sie angemessenen Sicherheitsanforderungen entspricht. Das gilt also für den gesamten Lebenszyklus. Und selbst nach Außerbetriebnahme sind unter Umständen Maßnahmen erforderlich.

Mindestens zu härtende IT-Systeme

Härtung informationstechnischer Systeme umfasst vielfältige Bereiche. Darunter fallen Hardware wie Server und Router ebenso wie Software wie Firewall und geeignete Verschlüsselungssysteme, Server und Serverräume ebenso wie Versorgungssysteme wie Strom und Klimasteuerung, die für eine funktionierende IT unabdingbar sind.

Wer seine Systeme erfolgreich härten möchte, behält außerdem Komponenten wie Updates und Patches im Blick und kümmert sich um Anwendungsregeln wie Benutzerrechte und Gruppenrichtlinien. Weiter unten finden Sie eine Übersicht der Tipps und Maßnahmen.

Härten Sie genug?

Jede Organisation härtet ihre IT mehr oder weniger. Dass zu wenig gehärtet wurde, weiß man nach einem erfolgreichen Angriff oder nach folgenschweren Fehlern durch die Beschäftigten. Kaum jemand kann guten Gewissens sagen, in Sachen Systemhärtung genug getan zu haben. Hand aufs Herz – wie ists bei Ihnen?

"Systemhärtung ist kein einmaliges Projekt. Solange ein informationstechnisches System im Einsatz ist, muss regelmäßig geprüft werden, ob es den angemessenen Sicherheitsanforderungen entspricht."

Wie gefährlich sind unzureichend gehärtete Systeme?

Systemhärtung verkleinert die Angriffsfläche

Je dürftiger die IT gehärtet ist, desto größer ist die Angriffsfläche. Oder, um es positiv zu formulieren: Je besser die Systemhärtung, desto besser ist das Unternehmen vor Angriffen geschützt.

Datenschutzvorfälle reduzieren

Eine gezielte Systemhärtung bedeutet also weniger Vorfälle bei Informationssicherheit und Datenschutz. Sie beugt vor, dass ungebetene Benutzer auf die Systeme gelangen und Schaden anrichten. Auch unbeabsichtigte Datenschutzverstöße werden unwahrscheinlicher.

Permanent systematisch härten

Kurz und gut, alle Risiken im Zusammenhang mit der IT können kritisch sein und zu Datenverlusten und Meldepflichten führen. Daher muss permanente Systemhärtung ganz oben auf der To-Do-Liste stehen.

Systemhärtung und Datenschutz

Laufende Systemhärtung? Unverzichtbar.

In Sachen Systemhärtung spricht die Datenschutz-Grundverordnung (DSGVO) eine klare Sprache. Die Forderungen aus Artikel 24 DSGVO machen eine permanente Systemhärtung im Grunde unverzichtbar. Das allerdings als alleinige Datenschutzanforderung zu betrachten, greift zu kurz. Ohne IT geht in heutigen Unternehmen schließlich nichts mehr. Wer Systemhärtung betreibt, betreibt aktiven Datenschutz und sichert die Infrastruktur seines Unternehmens.

Das sagt die DSGVO

„Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.“

Artikel 24 Abs. 1 Satz 1 DSGVO

13 Tipps zur Härtung der Systeme

Mit gezielten Maßnahmen gewährleisten Sie die Sicherheit der Unternehmens-IT.

Tipp Nr. 1

Begreifen Sie Härtung als permanente Aufgabe.

Tipp Nr. 2

Erarbeiten Sie einen Projektplan zur systematischen Härtung der IT.

Tipp Nr. 3

Stellen Sie „weiche“ Aspekte der IT zusammen wie beispielsweise schwache Passwörter – und vermerken Sie die damit verbundenen Sicherheitsrisiken.

Tipp Nr. 4

Planen Sie die Härtung der Versorgungssysteme wie Strom, Wasser und Klimaanlage.

Tipp Nr. 5

Planen Sie die Härtung der Netzwerke und leiten Sie sie ein, damit nur erlaubte Netzwerkzugriffe erfolgen – mit allen Komponenten der Hardware (wie Server, Router, Switches, Verkabelungen usw.) und Software (wie Firewall und Verschlüsselungssysteme).

Tipp Nr. 6

Planen Sie die Härtung der Server und Serverräume und setzen Sie sie um.

Tipp Nr. 7

Härten Sie Komponenten wie Geräte und Software zum Betrieb der Anwendungen – mit allen Einstellungen, Updates, Patches usw.

Tipp Nr. 8

Planen und verwirklichen Sie die Härtung von Datenbanken zur Absicherung der Datenbestände sowohl auf dem Betriebsgelände (on Premises) als auch in der Cloud.

Tipp Nr. 9

Nehmen Sie die Härtung von Betriebssystemen in Angriff (wie automatisierte Updates und Patches) und entfernen Sie unnötige Funktionen und Treiber.

Tipp Nr. 10

Härten Sie die Anwendungsregeln wie Benutzerrechte und Gruppenrichtlinien.

Tipp Nr. 11

Planen Sie die Härtung der Archivsysteme und gehen Sie sie an.

Tipp Nr. 12

Planen Sie regelmäßige Unterweisungen der Mitarbeitenden und führen Sie Erfolgskontrollen durch.

Tipp Nr. 13

Nutzen Sie regelmäßige Fortbildungen und praxisnahe Informationen.

Und die Kernfrage: Haben Sie sichergestellt, dass Ihre IT permanent mögliche Risiken im Blick hat und systematisch Maßnahmen zur Härtung der Systeme erfolgen?

Viel Erfolg bei der Härtung Ihrer Unternehmens-IT!

Bei Datenschutz-Fragen Team Datenschutz fragen.

Kontakt aufnehmen Kontakt aufnehmen

Hat Ihnen der Datentipp gefallen? Empfehlen Sie ihn weiter!

< Älterer Beitrag Neuerer Beitrag >

Sensoren, Aktoren und der Datenschutz

von Eberhard Häcker • 23 Aug., 2024

Sensoren und Aktoren stecken in Autos, im Smart Home, in Industrie, Medizintechnik und mehr. Sie sammeln und verarbeiten Daten, die oft mit Menschen in Verbindung stehen. Klarer Fall für den Datenschutz. 10 Tipps, um Datenpannen zu vermeiden.

Netzwerktopologie verständlich erklärt & Tipps für ein sicheres Netzwerk

von Eberhard Häcker • 07 Aug., 2024

Netzwerktopologie bezeichnet, wie Geräte in Computer-Netzwerken miteinander verbunden sind. Die häufigsten Topologien sind Stern, Ring, Bus und Masche. Dabei werden personenbezogene Daten verarbeitet. Umso wichtiger, dass Datenschutzbeauftragte sich des Themas annehmen.

Unsichere WLAN-Netzwerke erkennen und wichtige Daten schützen

von Eberhard Häcker • 09 Juli, 2024

Wie Sie unsichere WLAN-Netzwerke erkennen und mit welchen Maßnahmen Sie Ihre Daten schützen. Unsere Tipps zu sicheren Verbindungen und Mitarbeiterschulungen.

Agile Datenschutzbeauftragte. Fachseminar mit Eberhard Häcker

von Team Datenschutz • 26 Juni, 2024

Wir laden ein zu einem spannenden neuen Datenschutz-Event: Das Fachseminar "Agile Datenschutzbeauftragte – Immer einen Schritt voraus" richtet sich an Datenschutzbeauftragte, die mit modernen, agilen Methoden den Anforderungen der veränderten Arbeitswelt begegnen und immer einen Schritt voraus sein möchten. Seminarleiter Eberhard Häcker freut sich auf den Austausch mit den Teilnehmenden.

DSGVO-gerechte Systemhärtung. 13 Tipps für eine sichere IT

von Eberhard Häcker • 07 Juni, 2024

Sicherheit des Unternehmensgebäudes – und was das mit Datenschutz zu tun hat

von Eberhard Häcker • 29 Mai, 2024

Für Unternehmen sind angemessene Sicherheitsvorkehrungen von entscheidender Bedeutung. Das betrifft unter anderem Firmengebäude und das Firmengelände. Vom Einbruchschutz über eine resiliente IT bis zum Umgang mit Notfallsituationen – eine umfassende Sicherheitsstrategie leistet einen wichtigen Beitrag, Ihr Unternehmen vor Gefahren verschiedenster Art zu schützen. Wir geben Tipps.

Großereignisse und ihre datenschutzrechtlichen Risiken für Unternehmen

von Eberhard Häcker • 29 Apr., 2024

Bei Großereignissen wie Demonstrationen, Festen oder sportlichen Ereignissen sind viele Menschen unterwegs. In der nahen Umgebung des Unternehmens können solche Events Auswirkungen haben von logistischen Herausforderungen bis hin zu möglichen Datenschutzverletzungen. 11 Tipps, wie Unternehmen sich auf solche Ereignisse vorbereiten und rechtliche Probleme umgehen.

Network Access Control – 8 Tipps für eine DSGVO-konforme Netzzugangskontrolle

von Eberhard Häcker • 05 Apr., 2024

Wer unerlaubt in ein Netzwerk eindringt, kann erheblichen Schaden anrichten. Wie betreiben Organisationen ihre Netze in Sachen Informationssicherheit und Datenschutz rechtskonform? Mittels Network Access Control. 8 Tipps, wie Sie die Netzzugangskontrolle sicher und DSGVO-gerecht regeln.

Datenpannen bei Namen von BewerberInnen im Outlook-Kalender

von Eberhard Häcker • 27 März, 2024

Ja, auch im Kalender kann es zu Datenlecks kommen. Viele Unternehmen nutzen Kalender wie Outlook, um Termine zu organisieren. Die Schattenseite: Heikle Infos wie Namen von Bewerbenden sind schnell für Unbefugte sichtbar - wenn die Einträge nicht geschützt sind. Schnell entstehen Vertraulichkeitsprobleme und Datenschutzverletzungen. Vorkehrungen helfen gegen Zwischenfälle. Wir geben Tipps.