foto freepik

Der Europäische Datenschutztag sollte nicht nur ein Tag der Datenschutzreflexe sein. Verantwortliche sollten überprüfen, wie sie einen zentralen Vektor der Angreifer beim unerlaubten Zugriff auf Informationen schützen und sichern: digitale und menschliche Identitäten. Sie zu schützen und wiederherzustellen, ist eine entscheidende Aufgabe. Denn beide sind ein Haupttool für Angreifer, um Zugriff auf Daten zu erhalten.

Am Europäischen Datenschutztag erinnern sich viele Entscheider reflexartig an den üblichen empfohlenen Maßnahmenkatalog: Richtlinien aktualisieren, Einwilligungserklärungen überarbeiten und Mitarbeiter zu Strategien für Sicherheit und Resilienz zu schulen. Diese Schritte sind unerlässlich, aber sie sind nur der Anfang.

Im Jahr 2026 sollten sich Führungskräfte auf Vorstandsebene zusätzlich die Frage stellen: Können wir die Kontrolle über unseren Umgang mit personenbezogenen Informationen sowie deren Schutz nachweisen und das Vertrauen bei unseren Kunden, Partnern und Mitarbeitern auch in Krisensituationen aufrechterhalten?

Zu Krisen kommt es aus vielen Gründen – Identitäten werden korrumpiert, Konfigurationen fehlerhaft gesetzt, Zugriffe missbraucht. In all diesen Fällen ist es wichtig, dass Unternehmen vorbereitet sind, um die Folgen dieser Krisen zu meistern, indem sie die wichtigen Daten und digitalen Identitäten schützen und nach einem Angriff wiederherstellen können.

Beweispflicht

Branchenübergreifend ist die Richtung klar: Unternehmen werden dazu gedrängt, ihre Pläne für den Datenschutz zu belegen. Auch angesichts neuer Gefahren: Die Experten von Gartner prognostizieren, dass bis 2027 mehr als 40 Prozent der KI-bezogenen Datenschutzverletzungen durch unsachgemäße grenzüberschreitende Nutzung generativer künstlicher Intelligenz verursacht werden.

Und die Unternehmen reagieren: IDC schätzt, dass bis 2028 85 Prozent der Informationsprodukte eine sogenannte Data Bill of Materials (DBoM) enthalten werden. Diese dokumentiert das Sammeln, Bearbeiten und Bereinigen der Daten und belegt das eingeholte Einverständnis.

Auch in Europa spiegelt sich diese immer deutlichere Beweislast klar wider. Regulative Vorgaben wie die DSGVO, NIS2 und DORA fordern dies ein. So verlangen NIS2 und DORA, dass Unternehmen angemessene technische und organisatorische Maßnahmen für Datenzugriff und Risikomanagement nachweisen und kritische Systeme wie die Verzeichnisdienste besonders schützen. Wer auf kritische Systeme zugreifen darf und welche Rollen und Privilegien vergeben sind, ist zu dokumentieren.

Beide Regelwerke schreiben explizit vor, Administrator- und Servicekonten gesondert zu schützen und die Aktionen solcher privilegierten Identitäten gesondert zu protokolliert. Das Schutzniveau dieser Daten innerhalb einer Organisation hängt dabei von der operativen Leistungsfähigkeit ab und nicht alleine von Richtlinien: Wie schnell und gut kann die IT Eingriffe eindämmen, die Daten validieren und gegebenenfalls sicher wiederherstellen.

Identitätsschutz

Gerade wenn es um Vertraulichkeit geht, treffen sich Datenschutz und Resilienz in ihren Anforderungen. Einerseits ist da für die betroffene Organisation selbst die unternehmenskritische Notwendigkeit, eventuell verschlüsselte oder korrumpierte Daten so schnell, sauber und vollständig wie möglich wiederherzustellen. Andererseits gilt es aber, schon im Vorfeld den Angriff und den Zugriff etwa auf digitale Identitäten zu verhindern.

Denn eines wird immer deutlicher: Digitale kompromittierte Identitäten sind die Achillesferse des Datenschutzes. In Cloudumgebungen sind sie oft der schnellste Weg zu sensiblen Daten. Active Directory (AD) etwa ist eines der häufigsten Ziele von Cyberkriminellen. Neun von zehn Attacken nehmen den Verzeichnisdienst ins Visier, da er den Zugriff auf Daten, Systeme und Anwendungen steuert.

Resilienz – und damit Datenschutz – bedeutet, unerlaubte Zugriffe und das Umgehen von Identitätskontrollen frühzeitig zu erkennen, den Schaden zu begrenzen und den Status der Privilegien sicher wiederherzustellen.

Deshalb ist eine saubere und nachhaltige Cyber Recovery des Rechtestatus der Nutzer oder der digitalen Identitäten von Maschinen oder Anwendungen von zentraler Bedeutung. Bei Ransomware oder Identitätsdiebstahl besteht das Risiko darin, kompromittierte Datensätze – die falschen Daten zum falschen Zeitpunkt – wiederherzustellen, ohne deren Integrität zu überprüfen. Der nächste Zugriff ist damit programmiert. Die Sicherung der Privilegienverzeichnisse ist daher eine notwendige präventive Maßnahme.

Identitätsresiliente Unternehmen priorisieren Isolation, Verifikation und Reproduzierbarkeit der Backups etwa des Verzeichnisdienstes Active Directory, um deren Einträge wiederherstellen zu können und gleichzeitig das Risiko einer erneuten Infektion, beschädigter Daten oder wiederholter Datenschutzverletzungen durch unerlaubten Zugriff zu minimieren.

Der Tag des Datenschutzes bietet einen guten Anlass, die eigene Resilienz sofort auszutesten. Können die Verantwortlichen die Folgen eines unberechtigten Zugriffs eindämmen, die betroffenen Daten und Systeme sauber wiederherstellen und so die Kontrolle über ihre Daten überzeugend und regelkonform belegen? Unternehmen, die Identitätsresilienz als weitere Datenschutzmaßnahme einrichten, schaffen die Voraussetzung hierfür. Denn im Worst Case, also bei einem erfolgreichen Angriff, werden sie den Betrieb sicher wiederaufnehmen und dokumentieren können, was genau betroffen war, was wiederhergestellt wurde und was sicher geblieben ist. Oder wieder sicher ist.

Christian Kubik, Manager Field Advisory Services Team EMEA bei Commvault.

1218 Artikel zu „Datenschutz Identität“

News | Geschäftsprozesse | IT-Security

5 Risiken unzureichender Identitätsprüfung in digitalen Geschäftsprozessen

24. Januar 2026

Digitale Geschäftsmodelle leben von Vertrauen. Ob Kundenportale, Partnerplattformen oder interne Self‑Service‑Systeme – überall entscheidet die Identität darüber, wer Zugriff erhält und welche Aktionen möglich sind. Genau hier entstehen 2026 wachsende Risiken für Unternehmen. Für IT‑Entscheider ist das kein reines Technikthema mehr. Mangelhafte Identitäts- und Vertrauensprüfungen wirken sich direkt auf Sicherheit, Compliance und wirtschaftliche Stabilität aus.…