Cybersicherheit gehört inzwischen zu den zentralen Risikobereichen für Unternehmen jeder Größe. Angriffe wie Ransomware, Phishing oder über Lieferketten- und KI-basierte Methoden verursachen nicht nur wirtschaftliche Schäden, sondern haben regelmäßig auch erhebliche Auswirkungen auf den Datenschutz betroffener Personen. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat daher eine kompakte Checkliste veröffentlicht, die Unternehmen eine praxisnahe Orientierung bieten soll, wie sie ihre IT-Systeme und Daten wirkungsvoll schützen und die eigene Widerstandsfähigkeit gegenüber Angriffen erhöhen können.
Nachfolgend stellen wir die wesentlichen Punkte dieser „Cyberfestung“-Checkliste dar.
1. Netzwerkperimeter und Angriffsmöglichkeiten
vollständige Erfassung der gesamten IT-Landschaft (intern, extern, Cloud)
regelmäßige Port- und Netzwerkscans
restriktive Firewall-Regeln nach dem „Deny-All“-Prinzip
dokumentierte Schnittstellen
proaktives Monitoring, u.a. durch Log-Auswertung und IDS/IPS
2. Multi-Faktor-Authentifizierung (MFA)
Ergänzung von Passwörtern um einen zweiten Faktor (Token, App, biometrisch)
Pflicht für administrative Konten, exponierte Nutzergruppen und Cloud-Dienste
Protokollierung fehlgeschlagener Anmeldeversuche
Schulung der Mitarbeitenden zum sicheren Umgang mit MFA
3. Umgang mit lokalen Administratorkonten
Minimierung der Anzahl lokaler Administrator-Konten
Nutzung unterschiedlicher und komplexer Passwörter (z.B. via LAPS)
kein Einsatz von Admin-Konten beim Lesen von E-Mails oder beim Surfen
Protokollierung aller Admin-Aktivitäten
Prüfung von Jump-Servern und Just-in-Time-Zugriffen
4. Einschränkung von PowerShell-Skripten
Beschränkung der Nutzung auf berechtigte Personen
Verbot unsignierter Skripte, Einsatz von Execution-Policies
Deaktivierung veralteter PowerShell-Versionen
Skript-Protokollierung
Einsatz von Application-Control-Techniken und Überwachung verdächtiger Aktivitäten
5. Netzwerksegmentierung
Aufteilung des Netzwerks in getrennte Zonen (z.B. VLANs)
Firewalls zwischen Netzwerkzonen und klare Zugriffsregeln
Überwachung des Datenverkehrs
regelmäßige Tests und Penetrationstests
Anwendung des Zero-Trust-Prinzips
6. Überwachung des Internetübergangspunkts
Einsatz von NGFW, DNS-Filtern, E-Mail-Gateways, IDS/IPS
zentrale Integration von Sicherheitslogs in SIEM-Systeme
striktes Egress-Filtering und TLS/SSL-Inspection (datenschutzkonform)
regelmäßige Penetrationstests zur Schwachstellenerkennung
7. Ransomware-sichere Backups
Anwendung der 3-2-1-Regel
unveränderbare Backups (WORM) und Versionierung in Cloud-Backups
Zugriffsbeschränkungen und Verschlüsselung
regelmäßige Integritätsprüfungen und Wiederherstellungstests
8. Awareness und Social Engineering
regelmäßige Security-Awareness-Trainings inkl. Phishing-Simulationen
Sensibilisierung für KI-generierte Phishing-Mails und Social-Media-Risiken
interne Meldesysteme und klare Verfahrensanweisungen für Vorfälle
stärkere Sicherheitskultur durch Rollenspiele und 4-Augen-Prinzip bei Zahlungen
9. Software-Updates
strukturiertes Patch-Management
vollständige Inventarisierung aller Systeme
automatisierte Updates, wo möglich
Testen von Patches in Testumgebungen
Priorisierung sicherheitskritischer Updates
Dokumentation aller Aktivitäten
Strategien für ungepatchte Schwachstellen
10. Absicherung des Domain Controllers
Betrieb in einem isolierten Netzwerksegment
Zugriffsbeschränkungen und Einsatz von MFA
Least-Privilege-Prinzip
regelmäßige Updates, Überwachung via SIEM und IDS
Backups und Netzwerkzugriffskontrollen
Härtung des Servers
Einsatz von Honeypots zur Ablenkung und Erkennung von Angreifern
Fazit
Die vom BayLDA veröffentlichten Hinweise bieten Unternehmen eine strukturierte und leicht umsetzbare Orientierung, um die eigene IT-Sicherheit gezielt zu verbessern. Die Checkliste adressiert zentrale Schwachstellen und zeigt, welche Maßnahmen erforderlich sind, um die eigenen Systeme vor modernen Angriffsmethoden zu schützen und die Datensicherheit zu stärken.
Weitere Beiträge: