DSGVO-gerechte Systemhärtung. 13 Tipps für eine sichere IT

Eberhard Häcker • 7. Juni 2024

Der kleine feine Datentipp

Lesezeit: ca. 8 Minuten

Industriearbeiter


Das beste Schutz gegen Angriffe auf die Unternehmens-IT ist die Härtung der Systeme – also die gezielte Absicherung von Rechnern, Servern und anderen Komponenten. Wie das geht, verrät der Datentipp!



Systemhärtung zielgerichtet angehen


IT und ihre Tücken


 Computer, Laptops, Tablets, Smartphones, Router, Drucker – sie alle haben zu Beginn bestimmte Werkseinstellungen. Wie die Hersteller das eben für richtig halten. Oder wie es wenig Aufwand verursacht. Mit anderen Worten: Man muss sich selbst darum kümmern. Und da fängt die Herausforderung an: Wer keine Maßnahmen ergreift, riskiert Sicherheitslücken.



Was ist systemisches Härten?


Eine möglichst sichere Konfiguration von informationstechnischen Systemen wird als Systemhärtung bezeichnet, System Hardening im Englischen. Systemhärtung betrifft Geräte und Systeme aller Art: Server, Netzwerke, PCs, Notebooks, Tablets, Smartphones ebenso wie Drucker, Produktionsmaschinen mit IT-Komponenten und die smarte Kaffeemaschine in der Kantine.



Welches Ziel hat die Systemhärtung?


Das Ziel ist klar: Mit angemessenen Maßnahmen der Systemhärtung erkennen Sie Sicherheitsrisiken und verhindern, dass diese zu Sicherheits- oder Datenschutzvorfällen werden.



Wie lange dauert das Härten der Systeme?


Eine Frage, die mancher sich stellt: Wie aufwendig wird das mit der Systemhärtung? Wie lange dauert es? Eines muss klar sein: Systemhärtung ist kein einmaliges Projekt. Wer IT im Einsatz hat, muss regelmäßig prüfen, ob sie angemessenen Sicherheitsanforderungen entspricht. Das gilt also für den gesamten Lebenszyklus. Und selbst nach Außerbetriebnahme sind unter Umständen Maßnahmen erforderlich.



Mindestens zu härtende IT-Systeme


Härtung informationstechnischer Systeme umfasst vielfältige Bereiche. Darunter fallen Hardware wie Server und Router ebenso wie Software wie Firewall und geeignete Verschlüsselungssysteme, Server und Serverräume ebenso wie Versorgungssysteme wie Strom und Klimasteuerung, die für eine funktionierende IT unabdingbar sind.


Wer seine Systeme erfolgreich härten möchte, behält außerdem Komponenten wie Updates und Patches im Blick und kümmert sich um Anwendungsregeln wie Benutzerrechte und Gruppenrichtlinien. Weiter unten finden Sie eine Übersicht der Tipps und Maßnahmen.



Härten Sie genug?


Jede Organisation härtet ihre IT mehr oder weniger. Dass zu wenig gehärtet wurde, weiß man nach einem erfolgreichen Angriff oder nach folgenschweren Fehlern durch die Beschäftigten. Kaum jemand kann guten Gewissens sagen, in Sachen Systemhärtung genug getan zu haben. Hand aufs Herz – wie ists bei Ihnen?



quote

"Systemhärtung ist kein einmaliges Projekt. Solange ein informationstechnisches System im Einsatz ist, muss regelmäßig geprüft werden, ob es den angemessenen Sicherheitsanforderungen entspricht."

Wie gefährlich sind unzureichend gehärtete Systeme?


Systemhärtung verkleinert die Angriffsfläche


Je dürftiger die IT gehärtet ist, desto größer ist die Angriffsfläche. Oder, um es positiv zu formulieren: Je besser die Systemhärtung, desto besser ist das Unternehmen vor Angriffen geschützt.


Datenschutzvorfälle reduzieren


Eine gezielte Systemhärtung bedeutet also weniger Vorfälle bei Informationssicherheit und Datenschutz. Sie beugt vor, dass ungebetene Benutzer auf die Systeme gelangen und Schaden anrichten. Auch unbeabsichtigte Datenschutzverstöße werden unwahrscheinlicher.


Permanent systematisch härten


Kurz und gut, alle Risiken im Zusammenhang mit der IT können kritisch sein und zu Datenverlusten und Meldepflichten führen. Daher muss permanente Systemhärtung ganz oben auf der To-Do-Liste stehen.




Systemhärtung und Datenschutz


Laufende Systemhärtung? Unverzichtbar.


In Sachen Systemhärtung spricht die Datenschutz-Grundverordnung (DSGVO) eine klare Sprache. Die Forderungen aus Artikel 24 DSGVO machen eine permanente Systemhärtung im Grunde unverzichtbar. Das allerdings als alleinige Datenschutzanforderung zu betrachten, greift zu kurz. Ohne IT geht in heutigen Unternehmen schließlich nichts mehr. Wer Systemhärtung betreibt, betreibt aktiven Datenschutz und sichert die Infrastruktur seines Unternehmens.





Das sagt die DSGVO


„Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.“


Artikel 24 Abs. 1 Satz 1 DSGVO







13 Tipps zur Härtung der Systeme


Mit gezielten Maßnahmen gewährleisten Sie die Sicherheit der Unternehmens-IT.

Tipp Nr. 1


Begreifen Sie Härtung als permanente Aufgabe.

Tipp Nr. 2


Erarbeiten Sie einen Projektplan zur systematischen Härtung der IT.

Tipp Nr. 3


Stellen Sie „weiche“ Aspekte der IT zusammen wie beispielsweise schwache Passwörter – und vermerken Sie die damit verbundenen Sicherheitsrisiken.

Tipp Nr. 4


Planen Sie die Härtung der Versorgungssysteme wie Strom, Wasser und Klimaanlage.

Tipp Nr. 5


Planen Sie die Härtung der Netzwerke und leiten Sie sie ein, damit nur erlaubte Netzwerkzugriffe erfolgen – mit allen Komponenten der Hardware (wie Server, Router, Switches, Verkabelungen usw.) und Software (wie Firewall und Verschlüsselungssysteme).

Tipp Nr. 6


Planen Sie die Härtung der Server und Serverräume und setzen Sie sie um.

Tipp Nr. 7


Härten Sie Komponenten wie Geräte und Software zum Betrieb der Anwendungen – mit allen Einstellungen, Updates, Patches usw.

Tipp Nr. 8


Planen und verwirklichen Sie die Härtung von Datenbanken zur Absicherung der Datenbestände sowohl auf dem Betriebsgelände (on Premises) als auch in der Cloud.

Tipp Nr. 9


Nehmen Sie die Härtung von Betriebssystemen in Angriff (wie automatisierte Updates und Patches) und entfernen Sie unnötige Funktionen und Treiber.

Tipp Nr. 10


Härten Sie die Anwendungsregeln wie Benutzerrechte und Gruppenrichtlinien.

Tipp Nr. 11


Planen Sie die Härtung der Archivsysteme und gehen Sie sie an.

Tipp Nr. 12


Planen Sie regelmäßige Unterweisungen der Mitarbeitenden und führen Sie Erfolgskontrollen durch.

Tipp Nr. 13


Nutzen Sie regelmäßige Fortbildungen und praxisnahe Informationen.


Und die Kernfrage: Haben Sie sichergestellt, dass Ihre IT permanent mögliche Risiken im Blick hat und systematisch Maßnahmen zur Härtung der Systeme erfolgen?


Viel Erfolg bei der Härtung Ihrer Unternehmens-IT!

Bei Datenschutz-Fragen Team Datenschutz fragen.


Kontakt aufnehmen Kontakt aufnehmen

Hat Ihnen der Datentipp gefallen? Empfehlen Sie ihn weiter!

Mitarbeiter vor Bildschirmen

Neuer Termin für das Seminar „KI-Manager“

von Team Datenschutz 31. Januar 2026
Neuer Termin im März: Webinar „KI-Manager – nicht nur für Führungskräfte“. KI-Projekte sicher steuern, DSGVO, AI Act & ISO 42001 praxisnah erklärt.

24. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 23. Dezember 2025
Dieses emotionale Adventstürchen erzählt, wie ein einzelner Weihnachtsgruß eine Kette aus Herzensfreude auslöst – von der Straße über das Büro bis an die Supermarktkasse.

23. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 22. Dezember 2025
Dieses Adventstürchen zeigt, dass Datenschutz nicht nur aus Verboten besteht, sondern auch aus sinnvollen Empfehlungen.

22. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 21. Dezember 2025
Das 22. Adventstürchen erklärt praxisnah, worauf es bei der Informationspflicht zur Videoüberwachung ankommt – und warum Muster nur der Anfang sind.

21. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 20. Dezember 2025
Warum mobile Datenträger besondere Vorsicht erfordern und wie schnell aus Bequemlichkeit ein Datenschutzproblem entsteht.

20. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 19. Dezember 2025
Warum Datenschutz kein Showprogramm für Begehungen ist, sondern gelebter Alltag sein muss – für Sicherheit, Vertraulichkeit und Gesundheit.

19. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 18. Dezember 2025
Wie ein Mitarbeiter einen Sicherheitsvorfall verhindert und damit zum Weihnachtshelden wird.

18. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 17. Dezember 2025
Diese Adventsgeschichte zeigt, wie in einem Krankenhaus durch einfache Maßnahmen Patientendaten geschützt werden konnten und warum Datenschutzbeauftragte manchmal auch Werkzeug brauchen.

17. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 16. Dezember 2025
Dieses DATSIPrUse-Türchen erklärt, warum zu viele Berechtigungen ein Risiko sind, warum Gruppenrichtlinien wichtig sind und wie gemeinsame Ordnung digitale Sicherheit schafft.
Mehr anzeigen