Die IT-Sicherheitslage in Deutschland bleibt angespannt – das zeigt der Lagebericht 2024 des Bundesamts für Sicherheit in der Informationstechnik (BSI). Cyberkriminelle agieren zunehmend professionell, kritische Schwachstellen in IT-Systemen nehmen zu, und Angriffe wie DDoS-Attacken oder Ransomware-Erpressungen bedrohen Unternehmen, Behörden und Privatpersonen gleichermaßen.
In diesem Kontext wird die Einführung angemessener technischer und organisatorischer Maßnahmen (TOMs) nach Art. 32 DSGVO immer wichtiger. Denn neben der Einhaltung datenschutzrechtlicher Vorgaben tragen diese Maßnahmen auch maßgeblich zur Cybersicherheit bei und helfen, derartigen Bedrohungen wirksam zu begegnen.
Cybercrime als wachsende Bedrohung für Datenschutz und IT-Sicherheit
Cyberkriminelle nutzen zunehmend ausgeklügelte Methoden wie den Handel mit gestohlenen Zugangsdaten (Access-Broker) oder gezielte Phishing-Attacken, um sich Zugang zu Unternehmensnetzwerken zu verschaffen. Gleichzeitig werden immer wieder schwerwiegende Sicherheitslücken in Firewalls, VPNs oder Betriebssystemen bekannt, die Angreifer für gezielte Attacken nutzen.
Gerade der Schutz wichtiger Daten, ist in Gefahr, wenn Unternehmen und Organisationen nicht über ausreichende Sicherheitsmaßnahmen verfügen. So verlangt Art. 32 DSGVO, dass Verantwortliche „ein dem Risiko angemessenes Schutzniveau“ gewährleisten, um Datenverluste, unbefugte Zugriffe oder Manipulationen zu verhindern.
Wie Maßnahmen nach Art. 32 DSGVO Cyberangriffe abwehren können
Maßnahmen, die sich aus Art. 32 DSGVO ableiten lassen, sind nicht nur für den Datenschutz relevant, sondern bieten auch wirksamen Schutz gegen Cyberangriffe, wie der BSI-Lagebericht zeigt. Eine zentrale Rolle spielt dabei die Verschlüsselung und Pseudonymisierung personenbezogener Daten, da sie verhindern, dass gestohlene Informationen direkt verwertbar sind. Zudem ist die Einführung einer Multi-Faktor-Authentifizierung (MFA) eine effektive Maßnahme, um den unbefugten Zugriff auf Konten und Systeme erheblich zu erschweren.
Ein weiteres zentrales Element ist das Patch- und Update-Management. Regelmäßige Software-Updates schließen Sicherheitslücken, bevor sie von Cyberkriminellen ausgenutzt werden können. Dies gilt besonders für Firewalls, VPN-Systeme und Betriebssysteme, die laut dem BSI-Bericht besonders häufig angegriffen werden. Gleichzeitig müssen Unternehmen sicherstellen, dass ihre IT-Systeme auch unter Belastung widerstandsfähig bleiben. DDoS-Schutzmaßnahmen, wie der Einsatz von Traffic-Filterlösungen und Notfallplänen, tragen dazu bei, die Verfügbarkeit und Belastbarkeit der IT-Infrastruktur zu gewährleisten – eine Anforderung, die direkt aus Art. 32 DSGVO hervorgeht.
Da insbesondere Ransomware-Angriffe schwerwiegende Folgen für Unternehmen haben, ist eine durchdachte Backup- und Wiederherstellungsstrategie essenziell. Durch regelmäßige, offline gesicherte Backups können Daten nach einem Angriff schnell wiederhergestellt werden, wodurch Betriebsunterbrechungen minimiert werden. Zusätzlich sollten klare Zugriffs- und Berechtigungskonzepte implementiert werden, um das Risiko einer unkontrollierten Ausbreitung von Angriffen innerhalb eines Netzwerks zu reduzieren.
Neben diesen technischen Maßnahmen spielt auch der menschliche Faktor eine entscheidende Rolle. Sicherheitsbewusstsein und regelmäßige Schulungen der Mitarbeiter tragen maßgeblich dazu bei, Social-Engineering-Angriffe wie Phishing zu verhindern. Gerade weil Cyberkriminelle verstärkt auf täuschend echte betrügerische Nachrichten setzen, um sensible Informationen zu erlangen, ist ein gut geschultes Personal eine wirksame Verteidigungslinie.
Fazit: Datenschutzmaßnahmen als Teil der IT-Sicherheitsstrategie
Der BSI-Lagebericht 2024 macht deutlich, dass Datenschutz und IT-Sicherheit nicht getrennt voneinander betrachtet werden können. Maßnahmen nach Art. 32 DSGVO sind essenziell, um personenbezogene Daten zu schützen, aber sie tragen gleichzeitig maßgeblich dazu bei, Cyberbedrohungen insgesamt abzuwehren.
Unternehmen und Behörden, die ihre technischen und organisatorischen Schutzmaßnahmen entsprechend weiterentwickeln, schützen nicht nur die Rechte der Betroffenen, sondern reduzieren auch ihr eigenes Risiko erheblich – sowohl hinsichtlich Datenschutzverletzungen als auch operativer Ausfälle durch Cyberangriffe.
Der vollständige Lagebericht kann unter folgenden Link auf der Webseite des BSI eingesehen werden:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2024.pdf?__blob=publicationFile&v=3