Skip to content
Sicherheit calendar_today Aktualisiert: 7. April 2026 schedule 4 Min. Lesezeit

System- und Softwaresicherheit - Grundlegende Prinzipien

Die Software und Systeme, die Sie nutzen, bilden das Fundament Ihrer Datensicherheit. Dieser Artikel behandelt die Prinzipien, die Sie anwenden sollten, um Ihre Systeme sicher zu halten.

summarize Kernaussagen
  • check_circle Halten Sie alle Software aktuell - die meisten Cyberangriffe nutzen bekannte Schwachstellen aus
  • check_circle Wenden Sie das Least-Privilege-Prinzip an: Geben Sie Nutzern nur die Rechte, die sie benoetigen
  • check_circle Segmentieren Sie Ihre Netzwerke: Ihr Gaestenetzwerk sollte keinen Zugriff auf Geschaeftsdaten haben
  • check_circle Aktivieren Sie Protokollierung, damit Sie bei einem Vorfall nachvollziehen koennen, was passiert ist

Ihre Systeme sind Ihre erste Verteidigungslinie

Die Software, die Sie nutzen, die Geraete, auf denen Sie arbeiten, und das Netzwerk, mit dem Sie verbunden sind - zusammen bilden sie das Fundament Ihrer Datensicherheit. Wenn dieses Fundament schwach ist, helfen schriftliche Richtlinien wenig.

Die DSGVO verlangt “angemessene technische Massnahmen”. Die folgenden Prinzipien decken ab, was Sie auf Ihre Systeme und Software anwenden sollten.

Prinzip 1: Alles aktuell halten

Die Mehrheit erfolgreicher Cyberangriffe nutzt bekannte Schwachstellen aus, fuer die bereits ein Patch verfuegbar war. Das Installieren von Updates ist die wirksamste Sicherheitsmassnahme, die Sie ergreifen koennen.

  • Betriebssystem - aktivieren Sie automatische Updates auf allen Arbeitsplaetzen und Servern
  • Browser - verwenden Sie immer die neueste Version
  • Geschaeftssoftware - planen Sie regelmaessige Updates fuer Ihr CRM, Ihre Buchhaltung und andere Tools
  • Firmware - vergessen Sie nicht Ihren Router, Drucker und andere Netzwerkgeraete
  • Plugins und Erweiterungen - veraltete WordPress-Plugins oder Browser-Erweiterungen sind ein haeufiger Angriffsvektor

Prinzip 2: Least Privilege

Geben Sie Nutzern nur den Zugang, den sie fuer ihre Arbeit benoetigen, nicht mehr. Dies begrenzt den Schaden, falls ein Konto kompromittiert wird.

  • Nicht jeder muss Administrator sein
  • Erstellen Sie separate Konten fuer den taeglichen Gebrauch und die Verwaltung
  • Entfernen Sie Rechte, sobald sie nicht mehr benoetigt werden
  • Verwenden Sie Gruppen oder Rollen, um Rechte konsistent zuzuweisen

Prinzip 3: Netzwerk segmentieren

Halten Sie verschiedene Arten von Datenverkehr getrennt:

  • Gaestenetzwerk getrennt vom Unternehmensnetzwerk - Besucher und Kunden brauchen keinen Zugriff auf Ihre internen Systeme
  • IoT-Geraete in einem separaten Netzwerk - smarte Geraete sind oft schlecht gesichert
  • Sensible Systeme extra abgeschirmt - Ihr HR-System oder Ihre Finanzbuchhaltung muss nicht von jedem Geraet aus erreichbar sein

Prinzip 4: Verschluesselung

Verschluesseln Sie Daten sowohl im Ruhezustand als auch bei der Uebertragung:

  • Bei der Uebertragung - verwenden Sie HTTPS fuer Ihre Website, VPN fuer Homeoffice, TLS fuer E-Mail
  • Im Ruhezustand - aktivieren Sie Festplattenverschluesselung auf Laptops und externen Speichermedien (BitLocker unter Windows, FileVault unter macOS)
  • Backups - verschluesseln Sie auch Ihre Backups, besonders wenn sie ausserhalb des Unternehmens aufbewahrt werden

Prinzip 5: Protokollierung und Ueberwachung

Wenn etwas schiefgeht, muessen Sie nachvollziehen koennen, was passiert ist:

  • Aktivieren Sie Protokolle auf Ihren wichtigsten Systemen
  • Bewahren Sie Protokolle ausreichend lange auf, um Vorfaelle untersuchen zu koennen (mindestens 3 Monate)
  • Pruefen Sie regelmaessig auf ungewoehnliche Aktivitaeten
  • Stellen Sie sicher, dass Protokolle nicht von einem Angreifer geloescht werden koennen

Prinzip 6: Backup und Wiederherstellung

Ein Backup, das Sie nicht wiederherstellen koennen, ist kein Backup:

  • Erstellen Sie taegliche Backups geschaeftskritischer Daten
  • Bewahren Sie mindestens ein Backup offline oder an einem anderen Standort auf
  • Testen Sie regelmaessig, ob Ihre Backups tatsaechlich wiederhergestellt werden koennen
  • Dokumentieren Sie Ihr Wiederherstellungsverfahren, damit Sie in einer Krisensituation nicht improvisieren muessen

Wenden Sie an, was zu Ihnen passt

Nicht jedes Unternehmen hat die gleichen Sicherheitsanforderungen. Ein Onlineshop mit Kundendaten hat andere Prioritaeten als ein Beratungsunternehmen. Aber die oben genannten Prinzipien gelten universell. Beginnen Sie mit den Grundlagen und bauen Sie darauf auf.

auto_awesome Dokumentieren Sie Ihre technischen Massnahmen

GDPRWise hilft Ihnen festzuhalten, welche technischen Sicherheitsmassnahmen Sie getroffen haben und wo Verbesserungsbedarf besteht.

GW
GDPRWise Redaktion

Dieser Artikel wurde vom GDPRWise-Team verfasst und von unseren Datenschutzexperten geprüft.