Die 15 wichtigsten Cybersecurity Maßnahmen im DSGVO-Zeitalter

IT-Sicherheit
Veröffentlicht:
29.09.24
Lesezeit:
15 Minuten
Autor:
Daniel Schlupp

Mit zunehmender Digitalisierung und Vernetzung in Unternehmen steigt auch die Anfälligkeit der Firmen-IT. Zum einen entwickeln Kriminelle immer raffiniertere Angriffe, um an sensible Daten und damit letztendlich an enorme Geldsummen zu kommen. Zum anderen gilt es auch interne Fehler und Unachtsamkeiten von Mitarbeitenden mit oft gravierenden Auswirkungen zu vermeiden. Und dies alles natürlich unter Einhaltung gesetzlicher Richtlinien in Bezug auf Sicherheit und Datenschutz, wie zum Beispiel der europäischen Datenschutz-Grundverordnung (EU-DSGVO).

Mit all dem musst du dich als IT-Verantwortliche:r im Unternehmen verstärkt auseinandersetzen. Was ist zu tun? Welche Fragen solltest du dir stellen und Antworten darauf finden? Und welche Maßnahmen sind notwendig, um die IT-Sicherheit im Unternehmen nachhaltig zu gewährleisten?

In diesem Artikel findest du einige aus unserer Sicht wesentliche Informationen und Maßnahmen, mit denen du die Sicherheit deiner IT auch im Hinblick auf das Thema Datenschutz überdenken und – wenn notwendig – die richtigen Schritte einleiten kannst.

EU-DSGVO – Was bedeutet das für die IT?

Die europaweit gültige EU-Datenschutz-Grundverordnung (DSGVO) ersetzt seit 25. Mai 2018 als alleinige Richtlinie der EU früher gültige Länder-Datenschutzgesetze. Sie setzt sich im Wesentlichen aus folgenden Grundsätzen für den Umgang mit personenbezogenen Daten in Unternehmen zusammen:

Erlaubnisvorbehalt

Datenverarbeitung nur mit Einwilligung der Betroffenen.

Beispiel: Newsletter dürfen nur noch an Empfänger:innen verschickt werden, die diese Erlaubnis gegeben haben oder an Kunden, mit denen du in einem Geschäftsverhältnis stehst.
Auswirkung auf die IT: Da dein Unternehmen im Zweifelsfall beweisen muss, dass diese Erlaubnis vorliegt, brauchst du sichere Double-Opt-In-Verfahren und eine lückenlose Dokumentation/Archivierung von Newsletter-Anmeldungen und Kundendaten.

Datenminimierung

Die Verarbeitung von Daten muss sich auf das für den Zweck notwendige Maß beschränken.

Beispiel: Welche Daten brauchst du für die elektronische Verarbeitung einer Kundenbestellung oder von Bewerbungsprozessen?
Auswirkung auf die IT: Im Rahmen der Überarbeitung von Prozessen sind eventuell Software-/Datenbank-Korrekturen notwendig.

Zweckbindung

Daten dürfen nur für den bestimmten Zweck erhoben und verarbeitet werden.

Beispiel: Bewerbungsunterlagen dürfen nur für die Bewerbung herangezogen werden und müssen nach Abschluss des Bewerbungsprozesses in einem bestimmten Zeitraum gelöscht werden.
Auswirkungen auf die IT: Diese Löschung der Daten musst du zuverlässig sicherstellen – durch einen definierten Prozess, der für alle Beteiligten klar und transparent ist.

Datensicherheit

Für die Datenverarbeitung müssen geeignete technische und organisatorische Maßnahmen zum Schutz vor Datenmissbrauch gewährleistet sein. Das ist nicht neu. Neu ist aber, dass du das im Zweifelsfall auch kurzfristig beweisen musst. Hier gewinnt die Dokumentation deiner Datenverarbeitungsprozesse an Bedeutung – und die Prozesse selbst müssen gut durchdacht und sicher aufgesetzt sein.

Transparenz

Betroffene haben ein Recht darauf zu wissen, dass und welche Daten in Bezug auf ihre Person erhoben wurden.

Beispiel: Wenn ein Kunde wissen will, welche Daten du über ihn erhoben und gespeichert hast, musst du diese kurzfristig zur Verfügung stellen können.
Auswirkung auf die IT: Auch hier brauchst du eine lückenlose Dokumentation, um die Anfrage gesetzeskonform beantworten zu können.

Grundsatz

Ab einer bestimmten Anzahl von Mitarbeitenden, die mit personenbezogenen Daten arbeiten, brauchst du einen Datenschutzbeauftragten.
Zudem ist ein Verfahrensverzeichnis notwendig, das dokumentiert, wo welche Daten wie verarbeitet werden. Und ein Löschkonzept, das zeigt, wie du Daten zweckgebunden und fristgerecht löschen kannst. Wenn du mit Dienstleistern arbeitest, die deine Daten verarbeiten, solltest du einen Vertrag zur Auftragsverarbeitung (AVV) abschließen – nach Artikel 28, 32 DSGVO.

Das IT-Sicherheits- und Datenschutzkonzept

Dein Sicherheitskonzept ist die Basis für alle Maßnahmen zur Absicherung deiner IT. Es sollte auf klaren Leitlinien deines Managements basieren – technisch, organisatorisch, personell. Die IT ist dabei nicht nur Lieferant – sie ist Teil der Unternehmensprozesse. Ziel ist es, Strukturen zu schaffen, die Risiken minimieren und Unternehmenswerte schützen.

Stelle dir dazu folgende Fragen:

  • Gibt es ein IT-Sicherheits- und Datenschutzkonzept?
  • Umfasst es auch organisatorische und personelle Maßnahmen?
  • Ist klar, wer wofür verantwortlich ist?
  • Sind alle Prozesse dokumentiert?
  • Wo steht dein Unternehmen aktuell?
  • Wird das Konzept regelmäßig angepasst?
  • Wie groß ist die Akzeptanz bei den Beteiligten?

Die Dokumentation sollte verständlich, aber nicht überladen sein.

IT-Security beginnt beim Backup

Ein regelmäßiges Backup deiner Firmendaten ist das A und O. Eigentlich selbstverständlich. In der Praxis sieht das aber oft anders aus.

Wichtig: Achte darauf, dass deine geschäftskritischen Daten ausschließlich in sicheren High-End-Rechenzentren mit Rechtsstandort Deutschland gespeichert werden. Die Datenübertragung muss verschlüsselt sein. Auch die Art der Datenspeicherung (z. B. blockbasiert) und die Performance der Infrastruktur spielen eine Rolle – damit Backup und Wiederherstellung schnell ablaufen.
Unsere Empfehlung: Automatisierte Datensicherung in der Cloud. So wird nichts vergessen. Typische Fehler bei Vor-Ort-Sicherungen fallen weg. Mit der passenden Lösung sicherst du ohne Aufwand, Hardware oder Wartung – und kannst flexibel skalieren.

Firewall – Datensicherheit fürs Firmennetzwerk

Ein zentraler Teil deines Sicherheitskonzepts ist die Firewall. Sie schützt dein Firmennetzwerk vor unerwünschten Zugriffen. Je nach Sicherheitsrichtlinie deines Unternehmens hast du die Wahl zwischen Hardware, Software, virtuellen oder Cloud-Firewalls.

Wichtig ist die einfache Bedienung – z. B. über ein browserbasiertes Interface – und volle Flexibilität. So lässt sich der Schutz an deine Bedingungen anpassen und leicht überwachen.
Unsere Empfehlung: Modulare Sicherheitspakete (z. B. von Sophos). Wenn dir intern die Ressourcen fehlen, setz auf Managed Services – für Einrichtung, Betrieb, Updates und Monitoring.

E-Mail-Sicherheit: Spamfilter und Virenschutz

E-Mails sind nach wie vor einer der größten Angriffsvektoren. Professionelle Spam- und Virenschutzlösungen sind deshalb Pflicht. Du musst steigenden Anforderungen gerecht werden – ohne zusätzlichen Aufwand.

Achte auf:

  • Hohe Erkennungsraten bei minimaler Fehlerquote
  • Intelligente Filter
  • Quarantänesysteme zur Abwehr von DDoS- oder Phishing-Angriffen

Idealerweise läuft das System vollautomatisiert nach deinen Regeln und lässt sich einfach überwachen.

Beispiel: Unser Cloud-Anti-Spam-Gateway nutzt ein mehrstufiges System selbstlernender Filter. Komplexe Algorithmen helfen dir, Datenschutz und Sicherheit zu gewährleisten.

E-Mail-Verschlüsselung – Datenschutz trifft Pflicht

Noch immer werden viele E-Mails unverschlüsselt verschickt. In Zeiten der DSGVO ist das keine gute Idee. Mit Verschlüsselung stellst du sicher, dass E-Mails nicht abgefangen oder manipuliert werden.

Wichtig sind:

  • Automatische Verschlüsselung ausgehender und eingehender Geschäftsmails
  • Individuelle Verschlüsselungsrichtlinien
  • Automatische Zertifikatsverwaltung
  • Einfache Signaturfunktionen

E-Mail-Archivierung – sicher und gesetzeskonform

Seit Anfang 2017 gilt: Geschäftliche E-Mails müssen revisionssicher archiviert werden – laut GoBD-Vorgaben. Das bedeutet: Du musst sicherstellen, dass E-Mails vollständig, unverändert, auffindbar und fristgerecht gespeichert werden.

Was du brauchst:

  • Vollautomatische, sichere Archivierung
  • Schnelle Wiederauffindbarkeit
  • Einfache Verwaltung – auch bei unterschiedlichen Archivierungsfristen
Wichtig beim Datenschutz: Du musst sicherstellen können, dass bestimmte Nutzergruppen (z. B. Betriebsräte) keinen Zugriff auf bestimmte Inhalte haben. Auch das rechtzeitige Löschen sensibler Bewerbungs-Mails gehört dazu.

Eine leistungsfähige Archivierungslösung wie das Secure Mail Gateway von PORTFORMANCE in der Cloud kann dich hier wirkungsvoll unterstützen.

Geschützt auch bei ausgeklügelten Angriffen

Ransomware, Blended Attacks, CEO-Fraud: Die Angriffe werden raffinierter – und teurer.

Deshalb brauchst du Schutz in Echtzeit. Das liefert dir eine Advanced-Threat-Protection-(ATP)-Lösung. Sie sichert deine Systeme gegen die häufigsten komplexen Angriffsarten.

Worauf du achten solltest:

  • Schutz vor Ransomware, Kombi-Attacken, CEO-Fraud, digitaler Spionage und Sabotage
  • Gute Integration mit bestehenden Spam- und Virenfiltern
  • Echtzeit-Warnungen (Real-Time Alerts) – damit du sofort reagieren kannst

Daten sicher in der Cloud

Cloud-Lösungen bieten Flexibilität, Kostenkontrolle und Skalierbarkeit – sowohl bei einzelnen Anwendungen als auch bei kompletter Infrastruktur (IaaS).

Wichtig ist dabei: Die Sicherheit muss stimmen.

Achte auf diese Punkte:

  • Rechenzentren in Deutschland
  • ISO/IEC 27001-Zertifizierung
  • Redundante Speicherung
  • End-to-End-Verschlüsselung
  • 24/7-Überwachung durch Sicherheitsexperten

Gerade für kleinere und mittlere Unternehmen ein klarer Vorteil. Wir arbeiten erfolgreich mit verschiedenen deutschen IaaS-Anbietern zusammen – und unterstützen dich gern bei der Migration.

Sicherheitsupdates automatisieren

Wie gehst du aktuell mit Software-Updates um? Wie viel Aufwand bedeutet das für dich und deine IT?

Fakt ist: Sicherheitslücken müssen schnell geschlossen werden. Updates sind unverzichtbar, aber oft aufwendig zu planen und umzusetzen. Cloud-Lösungen entlasten dich. Updates übernimmt der Anbieter.

Alternativ kannst du mit Managed Services wie bei PORTFORMANCE auch die Verantwortung an einen externen Partner übergeben (inklusive AVV zur DSGVO-Absicherung).

Security für Website und Zugänge

Sobald du Daten über deine Website erhebst – z. B. via Kontaktformular –, bist du verpflichtet, diese sicher zu übertragen. Verschlüsselung ist Pflicht.


Darüber hinaus solltest du dich mit diesen Fragen beschäftigen:

  • Welche deiner Websites sind verschlüsselt – oder sollten es sein?
  • Wie gut sind Zugangsdaten geschützt?
  • Reichen deine bisherigen Passwort-Sicherungen aus?
  • Nutzt du bereits Alternativen wie 2-Faktor-Authentifizierung?

Hier liegt viel Potenzial für Verbesserungen und auch viel Risiko.

Zentral steuern und verschlüsseln

Um Datenschutz und IT-Security im ganzen Unternehmen effizient umzusetzen, brauchst du zentrale Kontrolle.

Wichtige Features:

  • Zentrale Verwaltung des Virenschutzes
  • Zentrale Festplattenverschlüsselung
  • Einheitliche Richtlinien für Webnutzung, USB-Nutzung etc.
  • Schutz vor neuen Bedrohungen durch Technologien wie Deep-Learning (z. B. Intercept X)
Empfehlung: Sophos Central – eine Cloud-Plattform, mit der du alle Sophos-Produkte zentral verwalten kannst. Du bekommst eine Übersicht über alle Alerts, Nutzer und Sicherheitsereignisse – und kannst Intercept X direkt integrieren.

Sensible Daten sicher austauschen

Der Austausch von Daten gehört zum Alltag – intern wie extern. Doch sobald sensible Informationen ins Spiel kommen, brauchst du besondere Schutzmaßnahmen.

Unsere Empfehlung: Setze auf verschlüsselte Online-Datenspeicher, z. B. HornetDrive. Damit kannst du Daten plattformunabhängig und mobil nutzen – online wie offline.

Worauf du achten solltest:

  • End-to-End-Verschlüsselung
  • Mehrfache Redundanz
  • Kein Zugriff durch Dritte – auch nicht durch den Betreiber
  • Mehrstufiges Rechtemanagement
  • Synchronisation mit lokalen Geräten
  • Konfliktmanagement mit Versionierung

So stellst du sicher, dass deine Daten geschützt bleiben – unabhängig vom Endgerät.

Datenschutzkonforme Online-Meetings und Webkonferenzen

Digitale Zusammenarbeit boomt. Meetings, Schulungen oder Webinare lassen sich flexibel organisieren – das spart Zeit und Reisekosten. Aber: Auch hier gelten Datenschutzvorgaben. Du tauschst personenbezogene Daten aus – Bilder, Videos, Präsentationen.

Unsere Lösung: FastViewer. Warum?

  • 256-Bit AES End-to-End-Verschlüsselung
  • Schutz des Kommunikationskanals
  • Zwei-Wege-SMS-Authentifizierung für Remote-Zugriff
  • TÜV-zertifiziert und auch bei Banken im Einsatz
  • Fälschungssichere Aufzeichnung
  • Keine zusätzliche Software für die Wiedergabe
  • Integration in deine Unternehmensinfrastruktur möglich

IT-Sicherheits-Audits – Sicherheitslücken finden und beheben

Ein Audit deckt auf, wo dein System Schwächen hat – bevor es jemand anderes tut.
Normen wie ISO/IEC 27001 setzen den Rahmen.

Ein externes Audit beginnt mit einer strukturierten Bestandsaufnahme:

  • Technische Tests
  • Interne Befragungen
  • Verwundbarkeitsprüfungen
  • Physische Analyse
  • „Friendly Hacking“ (simulierte Angriffe)

Am Ende bekommst du eine Einschätzung deines Schutzbedarfs – und einen Maßnahmenkatalog. Den kannst du intern oder mit Unterstützung umsetzen.

PORTFORMANCE bietet dir erfahrene Auditoren mit technischem Tiefgang und realer Angriffskenntnis und auf Wunsch auch Hilfe bei der Umsetzung.

Mitarbeitende trainieren und sensibilisieren

IT-Sicherheit ist kein reines Technikthema. Ohne informierte und aufmerksame Mitarbeitende bringt dir das beste System wenig.

Was du brauchst:

  • Schulungen zur DSGVO und deinem Datenschutzkonzept
  • Vermittlung des Sicherheitskonzepts und relevanter Prozesse
  • Regelmäßige Awareness-Maßnahmen
  • Sofortige Sensibilisierung bei aktuellen Angriffen

Ob Passwortpflege oder Datenzugang – nur wer versteht, was auf dem Spiel steht, kann verantwortlich handeln.

Fazit

IT-Security und Datenschutz wirken oft komplex – müssen es aber nicht sein. Mit den richtigen Maßnahmen und einem strukturierten Vorgehen sicherst du dein Unternehmen wirksam ab.

Wenn du dabei Unterstützung brauchst: PORTFORMANCE steht dir mit Fachwissen, Erfahrung und praxisnahen Lösungen zur Seite.

secure your success