DSGVO-gerechte Systemhärtung. 13 Tipps für eine sichere IT

Eberhard Häcker • 7. Juni 2024

Der kleine feine Datentipp

Lesezeit: ca. 8 Minuten

Industriearbeiter


Das beste Schutz gegen Angriffe auf die Unternehmens-IT ist die Härtung der Systeme – also die gezielte Absicherung von Rechnern, Servern und anderen Komponenten. Wie das geht, verrät der Datentipp!



Systemhärtung zielgerichtet angehen


IT und ihre Tücken


 Computer, Laptops, Tablets, Smartphones, Router, Drucker – sie alle haben zu Beginn bestimmte Werkseinstellungen. Wie die Hersteller das eben für richtig halten. Oder wie es wenig Aufwand verursacht. Mit anderen Worten: Man muss sich selbst darum kümmern. Und da fängt die Herausforderung an: Wer keine Maßnahmen ergreift, riskiert Sicherheitslücken.



Was ist systemisches Härten?


Eine möglichst sichere Konfiguration von informationstechnischen Systemen wird als Systemhärtung bezeichnet, System Hardening im Englischen. Systemhärtung betrifft Geräte und Systeme aller Art: Server, Netzwerke, PCs, Notebooks, Tablets, Smartphones ebenso wie Drucker, Produktionsmaschinen mit IT-Komponenten und die smarte Kaffeemaschine in der Kantine.



Welches Ziel hat die Systemhärtung?


Das Ziel ist klar: Mit angemessenen Maßnahmen der Systemhärtung erkennen Sie Sicherheitsrisiken und verhindern, dass diese zu Sicherheits- oder Datenschutzvorfällen werden.



Wie lange dauert das Härten der Systeme?


Eine Frage, die mancher sich stellt: Wie aufwendig wird das mit der Systemhärtung? Wie lange dauert es? Eines muss klar sein: Systemhärtung ist kein einmaliges Projekt. Wer IT im Einsatz hat, muss regelmäßig prüfen, ob sie angemessenen Sicherheitsanforderungen entspricht. Das gilt also für den gesamten Lebenszyklus. Und selbst nach Außerbetriebnahme sind unter Umständen Maßnahmen erforderlich.



Mindestens zu härtende IT-Systeme


Härtung informationstechnischer Systeme umfasst vielfältige Bereiche. Darunter fallen Hardware wie Server und Router ebenso wie Software wie Firewall und geeignete Verschlüsselungssysteme, Server und Serverräume ebenso wie Versorgungssysteme wie Strom und Klimasteuerung, die für eine funktionierende IT unabdingbar sind.


Wer seine Systeme erfolgreich härten möchte, behält außerdem Komponenten wie Updates und Patches im Blick und kümmert sich um Anwendungsregeln wie Benutzerrechte und Gruppenrichtlinien. Weiter unten finden Sie eine Übersicht der Tipps und Maßnahmen.



Härten Sie genug?


Jede Organisation härtet ihre IT mehr oder weniger. Dass zu wenig gehärtet wurde, weiß man nach einem erfolgreichen Angriff oder nach folgenschweren Fehlern durch die Beschäftigten. Kaum jemand kann guten Gewissens sagen, in Sachen Systemhärtung genug getan zu haben. Hand aufs Herz – wie ists bei Ihnen?



quote

"Systemhärtung ist kein einmaliges Projekt. Solange ein informationstechnisches System im Einsatz ist, muss regelmäßig geprüft werden, ob es den angemessenen Sicherheitsanforderungen entspricht."

Wie gefährlich sind unzureichend gehärtete Systeme?


Systemhärtung verkleinert die Angriffsfläche


Je dürftiger die IT gehärtet ist, desto größer ist die Angriffsfläche. Oder, um es positiv zu formulieren: Je besser die Systemhärtung, desto besser ist das Unternehmen vor Angriffen geschützt.


Datenschutzvorfälle reduzieren


Eine gezielte Systemhärtung bedeutet also weniger Vorfälle bei Informationssicherheit und Datenschutz. Sie beugt vor, dass ungebetene Benutzer auf die Systeme gelangen und Schaden anrichten. Auch unbeabsichtigte Datenschutzverstöße werden unwahrscheinlicher.


Permanent systematisch härten


Kurz und gut, alle Risiken im Zusammenhang mit der IT können kritisch sein und zu Datenverlusten und Meldepflichten führen. Daher muss permanente Systemhärtung ganz oben auf der To-Do-Liste stehen.




Systemhärtung und Datenschutz


Laufende Systemhärtung? Unverzichtbar.


In Sachen Systemhärtung spricht die Datenschutz-Grundverordnung (DSGVO) eine klare Sprache. Die Forderungen aus Artikel 24 DSGVO machen eine permanente Systemhärtung im Grunde unverzichtbar. Das allerdings als alleinige Datenschutzanforderung zu betrachten, greift zu kurz. Ohne IT geht in heutigen Unternehmen schließlich nichts mehr. Wer Systemhärtung betreibt, betreibt aktiven Datenschutz und sichert die Infrastruktur seines Unternehmens.





Das sagt die DSGVO


„Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.“


Artikel 24 Abs. 1 Satz 1 DSGVO







13 Tipps zur Härtung der Systeme


Mit gezielten Maßnahmen gewährleisten Sie die Sicherheit der Unternehmens-IT.

Tipp Nr. 1


Begreifen Sie Härtung als permanente Aufgabe.

Tipp Nr. 2


Erarbeiten Sie einen Projektplan zur systematischen Härtung der IT.

Tipp Nr. 3


Stellen Sie „weiche“ Aspekte der IT zusammen wie beispielsweise schwache Passwörter – und vermerken Sie die damit verbundenen Sicherheitsrisiken.

Tipp Nr. 4


Planen Sie die Härtung der Versorgungssysteme wie Strom, Wasser und Klimaanlage.

Tipp Nr. 5


Planen Sie die Härtung der Netzwerke und leiten Sie sie ein, damit nur erlaubte Netzwerkzugriffe erfolgen – mit allen Komponenten der Hardware (wie Server, Router, Switches, Verkabelungen usw.) und Software (wie Firewall und Verschlüsselungssysteme).

Tipp Nr. 6


Planen Sie die Härtung der Server und Serverräume und setzen Sie sie um.

Tipp Nr. 7


Härten Sie Komponenten wie Geräte und Software zum Betrieb der Anwendungen – mit allen Einstellungen, Updates, Patches usw.

Tipp Nr. 8


Planen und verwirklichen Sie die Härtung von Datenbanken zur Absicherung der Datenbestände sowohl auf dem Betriebsgelände (on Premises) als auch in der Cloud.

Tipp Nr. 9


Nehmen Sie die Härtung von Betriebssystemen in Angriff (wie automatisierte Updates und Patches) und entfernen Sie unnötige Funktionen und Treiber.

Tipp Nr. 10


Härten Sie die Anwendungsregeln wie Benutzerrechte und Gruppenrichtlinien.

Tipp Nr. 11


Planen Sie die Härtung der Archivsysteme und gehen Sie sie an.

Tipp Nr. 12


Planen Sie regelmäßige Unterweisungen der Mitarbeitenden und führen Sie Erfolgskontrollen durch.

Tipp Nr. 13


Nutzen Sie regelmäßige Fortbildungen und praxisnahe Informationen.


Und die Kernfrage: Haben Sie sichergestellt, dass Ihre IT permanent mögliche Risiken im Blick hat und systematisch Maßnahmen zur Härtung der Systeme erfolgen?


Viel Erfolg bei der Härtung Ihrer Unternehmens-IT!

Bei Datenschutz-Fragen Team Datenschutz fragen.


Kontakt aufnehmen Kontakt aufnehmen

Hat Ihnen der Datentipp gefallen? Empfehlen Sie ihn weiter!

15. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 14. Dezember 2025
Dieses Türchen verbindet Alltag, Risiko und Weihnachtszauber und zeigt, warum Datenschutz in Behörden nicht nur Pflicht ist – sondern Menschenschutz.

14. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 13. Dezember 2025
Das heutige Adventskalender-Türchen ist für alle, die wissen wollen, wie Datenschutz auch auf vier Rädern funktioniert.

13. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 12. Dezember 2025
In dieser warm erzählten Adventsgeschichte zeigt ein Fuhrparkleiter, wie man mit Ruhe, Respekt und Know-how eine stille Datenpanne verhindert und gleichzeitig das gesamte Unternehmen verbessert.

12. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 11. Dezember 2025
VPN, Verschlüsselung und richtige Reihenfolge entscheiden, ob ein Angreifer nur bunte Datenpakete sieht oder ob ein echtes Risiko entsteht.

11. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 10. Dezember 2025
Nicht jeder Held trägt einen Umhang. Diese Geschichte erzählt von einem Kollegen, der mehr Sicherheit schafft als jede technische Maßnahme.

10. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 9. Dezember 2025
Was tun, wenn ein externer Partner einen Datenschutzfehler verursacht? Ein spannendes Türchen über Krisenkompetenz, Vertrauen und echtes Projekt-Leadership.

9. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 8. Dezember 2025
Wie gewinnt man Kunden, wenn Budgets wie dünne Eiszapfen wirken? Indem man zeigt, dass Datenschutz nicht nur Ressourcen kostet, sondern sich auszahlen kann.

8. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 7. Dezember 2025
Das 8. Türchen zeigt humorvoll, wie ein unscheinbarer Router zum Risiko wird und wie ein IT-Kollege mit viel Fachkenntnis (und etwas Übermut) eine kritische Situation sichtbar macht.

7. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 6. Dezember 2025
Was passiert, wenn ein Team erkennt, dass ein Kollege unterzugehen droht? In dieser warmen Adventsgeschichte wird aus Stress eine stille, liebevolle Rettungsaktion.
Mehr anzeigen