DSGVO-gerechte Systemhärtung. 13 Tipps für eine sichere IT
Der kleine feine Datentipp
Lesezeit: ca. 8 Minuten
Das beste Schutz gegen Angriffe auf die Unternehmens-IT ist die Härtung der Systeme – also die gezielte Absicherung von Rechnern, Servern und anderen Komponenten. Wie das geht, verrät der Datentipp!
Systemhärtung zielgerichtet angehen
IT und ihre Tücken
Computer, Laptops, Tablets, Smartphones, Router, Drucker – sie alle haben zu Beginn bestimmte
Werkseinstellungen. Wie die Hersteller das eben für richtig halten. Oder wie es wenig Aufwand verursacht. Mit anderen Worten:
Man muss sich selbst darum kümmern.
Und da fängt die Herausforderung an: Wer keine Maßnahmen ergreift, riskiert Sicherheitslücken.
Was ist systemisches Härten?
Eine möglichst sichere Konfiguration von informationstechnischen Systemen wird als Systemhärtung bezeichnet, System Hardening im Englischen. Systemhärtung betrifft Geräte und Systeme aller Art: Server, Netzwerke, PCs, Notebooks, Tablets, Smartphones ebenso wie Drucker, Produktionsmaschinen mit IT-Komponenten und die smarte Kaffeemaschine in der Kantine.
Welches Ziel hat die Systemhärtung?
Das Ziel ist klar: Mit angemessenen Maßnahmen der Systemhärtung erkennen Sie Sicherheitsrisiken und verhindern, dass diese zu Sicherheits- oder Datenschutzvorfällen werden.
Wie lange dauert das Härten der Systeme?
Eine Frage, die mancher sich stellt: Wie aufwendig wird das mit der Systemhärtung? Wie lange dauert es? Eines muss klar sein: Systemhärtung ist kein einmaliges Projekt. Wer IT im Einsatz hat, muss regelmäßig prüfen, ob sie angemessenen Sicherheitsanforderungen entspricht. Das gilt also für den gesamten Lebenszyklus. Und selbst nach Außerbetriebnahme sind unter Umständen Maßnahmen erforderlich.
Mindestens zu härtende IT-Systeme
Härtung informationstechnischer Systeme umfasst vielfältige Bereiche. Darunter fallen Hardware wie Server und Router ebenso wie Software wie Firewall und geeignete Verschlüsselungssysteme, Server und Serverräume ebenso wie Versorgungssysteme wie Strom und Klimasteuerung, die für eine funktionierende IT unabdingbar sind.
Wer seine Systeme erfolgreich härten möchte, behält außerdem Komponenten wie Updates und Patches im Blick und kümmert sich um Anwendungsregeln wie Benutzerrechte und Gruppenrichtlinien. Weiter unten finden Sie eine Übersicht der Tipps und Maßnahmen.
Härten Sie genug?
Jede Organisation härtet ihre IT mehr oder weniger. Dass
zu wenig gehärtet wurde, weiß man nach einem
erfolgreichen Angriff oder nach
folgenschweren Fehlern durch die Beschäftigten. Kaum jemand kann guten Gewissens sagen, in Sachen Systemhärtung genug getan zu haben. Hand aufs Herz – wie ists bei Ihnen?
"Systemhärtung ist kein einmaliges Projekt. Solange ein informationstechnisches System im Einsatz ist, muss regelmäßig geprüft werden, ob es den angemessenen Sicherheitsanforderungen entspricht."
Wie gefährlich sind unzureichend gehärtete Systeme?
Systemhärtung verkleinert die Angriffsfläche
Je dürftiger die IT gehärtet ist, desto größer ist die Angriffsfläche. Oder, um es positiv zu formulieren: Je besser die Systemhärtung, desto besser ist das Unternehmen vor Angriffen geschützt.
Datenschutzvorfälle reduzieren
Eine
gezielte Systemhärtung
bedeutet also
weniger Vorfälle bei Informationssicherheit und Datenschutz. Sie beugt vor, dass ungebetene Benutzer auf die Systeme gelangen und Schaden anrichten. Auch unbeabsichtigte Datenschutzverstöße werden unwahrscheinlicher.
Permanent systematisch härten
Kurz und gut, alle Risiken im Zusammenhang mit der IT können kritisch sein und zu Datenverlusten und Meldepflichten führen. Daher muss
permanente Systemhärtung ganz oben auf der To-Do-Liste stehen.
Systemhärtung und Datenschutz
Laufende Systemhärtung? Unverzichtbar.
In Sachen Systemhärtung spricht die
Datenschutz-Grundverordnung (DSGVO) eine klare Sprache. Die Forderungen aus Artikel 24 DSGVO machen eine
permanente Systemhärtung im Grunde unverzichtbar. Das allerdings als alleinige Datenschutzanforderung zu betrachten, greift zu kurz. Ohne IT geht in heutigen Unternehmen schließlich nichts mehr. Wer Systemhärtung betreibt, betreibt
aktiven Datenschutz und
sichert die Infrastruktur seines Unternehmens.
Das sagt die DSGVO
„Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.“
Artikel 24 Abs. 1 Satz 1 DSGVO
13 Tipps zur Härtung der Systeme
Mit gezielten Maßnahmen gewährleisten Sie die Sicherheit der Unternehmens-IT.
Tipp Nr. 1
Begreifen Sie Härtung als permanente Aufgabe.
Tipp Nr. 2
Erarbeiten Sie einen Projektplan zur systematischen Härtung der IT.
Tipp Nr. 3
Stellen Sie „weiche“ Aspekte der IT zusammen wie beispielsweise schwache Passwörter – und vermerken Sie die damit verbundenen Sicherheitsrisiken.
Tipp Nr. 4
Planen Sie die Härtung der Versorgungssysteme wie Strom, Wasser und Klimaanlage.
Tipp Nr. 5
Planen Sie die Härtung der Netzwerke und leiten Sie sie ein, damit nur erlaubte Netzwerkzugriffe erfolgen – mit allen Komponenten der Hardware (wie Server, Router, Switches, Verkabelungen usw.) und Software (wie Firewall und Verschlüsselungssysteme).
Tipp Nr. 6
Planen Sie die
Härtung der Server und Serverräume
und setzen Sie sie um.
Tipp Nr. 7
Härten Sie Komponenten wie Geräte und Software zum Betrieb der Anwendungen – mit allen Einstellungen, Updates, Patches usw.
Tipp Nr. 8
Planen und verwirklichen Sie die Härtung von Datenbanken zur Absicherung der Datenbestände sowohl auf dem Betriebsgelände (on Premises) als auch in der Cloud.
Tipp Nr. 9
Nehmen Sie die Härtung von Betriebssystemen in Angriff (wie automatisierte Updates und Patches) und entfernen Sie unnötige Funktionen und Treiber.
Tipp Nr. 10
Härten Sie die
Anwendungsregeln wie Benutzerrechte und Gruppenrichtlinien.
Tipp Nr. 11
Planen Sie die Härtung der Archivsysteme und gehen Sie sie an.
Tipp Nr. 12
Planen Sie regelmäßige Unterweisungen der Mitarbeitenden und führen Sie Erfolgskontrollen durch.
Tipp Nr. 13
Nutzen Sie
regelmäßige Fortbildungen und
praxisnahe Informationen.
Und die Kernfrage: Haben Sie sichergestellt, dass Ihre IT permanent mögliche Risiken im Blick hat und systematisch Maßnahmen zur Härtung der Systeme erfolgen?
Viel Erfolg bei der Härtung Ihrer Unternehmens-IT!
Bei Datenschutz-Fragen Team Datenschutz fragen.
Hat Ihnen der Datentipp gefallen? Empfehlen Sie ihn weiter!
