---
title: IT-Compliance
date: 2026-04-27T16:13:00+02:00
author: Hannes Heckel
canonical_url: "https://www.fast-lta.de//de/blog/it-compliance"
section: Pillar Pages
---
[1. 1. Was bedeutet IT-Compliance?](#1-was-bedeutet-it-compliance)[1. 2. Die regulatorische Landschaft 2026](#2-die-regulatorische-landschaft-2026)[1. 3. Branchenspezifische Compliance-Anforderungen](#3-branchenspezifische-compliance-anforderungen)[1. 4. Datenhaltung als Compliance-Fundament](#4-datenhaltung-als-compliance-fundament)[1. 5. Technische Compliance-Anforderungen](#5-technische-compliance-anforderungen)[1. 6. Compliance und persönliche Haftung](#6-compliance-und-pers%C3%B6nliche-haftung)[1. 7. Compliance-Architektur: Referenzmodell](#7-compliance-architektur-referenzmodell)[1. 8. Häufige Fehler](#8-h%C3%A4ufige-fehler)[1. 9. Schritt-für-Schritt zur Compliance](#9-schritt-f%C3%BCr-schritt-zur-compliance)[1. 10. Häufige Fragen (FAQ)](#10-h%C3%A4ufige-fragen-faq)
### 1. Was bedeutet IT-Compliance? [\#](#1-was-bedeutet-it-compliance "1. Was bedeutet IT-Compliance?")
IT-Compliance bezeichnet die Einhaltung aller gesetzlichen, regulatorischen und organisatorischen Anforderungen, die für den Betrieb von IT-Systemen und die Verarbeitung von Daten gelten. Der Begriff umfasst drei gleichwertige Dimensionen:
#### Dimension 1: Rechtliche Compliance [\#](#dimension-1-rechtliche-compliance "Dimension 1: Rechtliche Compliance")
Die rechtliche Dimension umfasst alle Anforderungen, die aus Gesetzen, Verordnungen und behördlichen Vorgaben entstehen:
- **Datenschutzrecht:** DSGVO und das Bundesdatenschutzgesetz (BDSG) regeln, welche personenbezogenen Daten wie verarbeitet werden dürfen, wie lange sie gespeichert werden und welche Betroffenenrechte gelten.
- **Steuer- und Handelsrecht:** HGB, AO und GoBD schreiben vor, welche Geschäftsdokumente wie lange und in welcher Form aufzubewahren sind.
- **IT-Sicherheitsrecht:** NIS2 (als BSIG-novelle seit Dezember 2025 in Kraft), KRITIS-Dachgesetz und das IT-Sicherheitsgesetz 2.0 definieren Mindeststandards für die IT-Sicherheit bestimmter Unternehmen.
- **Sektorspezifisches Recht:** DORA für Finanzunternehmen, Röntgenverordnung für das Gesundheitswesen, Anforderungen aus dem KWG, dem GwG und anderen Fachgesetzen.
#### Dimension 2: Technische Compliance [\#](#dimension-2-technische-compliance "Dimension 2: Technische Compliance")
Die technische Dimension beschreibt konkrete IT-Anforderungen, die aus rechtlichen Vorgaben abgeleitet werden:
- **Datenspeicherung:** Unveränderliche Archivierung, WORM-Schutz, definierte Aufbewahrungsfristen und sichere Löschung nach Fristablauf
- **Zugriffskontrolle:** Rollenbasierte Zugriffsverwaltung, Multi-Faktor-Authentifizierung, Protokollierung aller Zugriffe
- **Verschlüsselung:** Schutz von Daten in Übertragung und Ruhe (AES-256 oder gleichwertig)
- **Audit Trail:** Lückenlose, fälschungssichere Aufzeichnung aller sicherheitsrelevanten Ereignisse
- **Incident Response:** Technische Fähigkeit zur Erkennung, Analyse und Meldung von Sicherheitsvorfällen
#### Dimension 3: Organisatorische Compliance [\#](#dimension-3-organisatorische-compliance "Dimension 3: Organisatorische Compliance")
Die organisatorische Dimension betrifft Prozesse, Verantwortlichkeiten und Dokumentation:
- **Richtlinien und Verfahrensdokumentation:** Schriftliche Dokumentation aller relevanten Prozesse — von der Datenspeicherung über die Zugriffssteuerung bis zur Incident Response
- **Verantwortlichkeiten:** Benennung von Verantwortlichen (Datenschutzbeauftragter, CISO, IT-Sicherheitsbeauftragter)
- **Schulungen:** Regelmäßige Schulung aller Mitarbeiter zu datenschutz- und sicherheitsrelevanten Themen
- **Audits:** Regelmäßige interne und externe Prüfung der Compliance-Maßnahmen
#### IT-Compliance vs. Revisionssicherheit: Der Unterschied [\#](#it-compliance-vs-revisionssicherheit-der-unterschied "IT-Compliance vs. Revisionssicherheit: Der Unterschied")
Compliance und Revisionssicherheit werden häufig gleichgesetzt — sie sind es nicht. Revisionssicherheit ist ein spezifisches Teilgebiet der IT-Compliance, das sich auf die rechtssichere Archivierung von Geschäftsdokumenten konzentriert (GoBD, HGB, AO). IT-Compliance ist der umfassendere Begriff: Er schließt Revisionssicherheit ein, geht aber weit darüber hinaus — bis hin zu IT-Sicherheitsanforderungen, Datenschutz, persönlicher Haftung und operativer Resilienz.
ThemaRevisionssicherheitIT-ComplianceUnveränderliche Archivierung von GeschäftsdokumentenKernthemaBestandteilDatenschutz nach DSGVOTeilbereichVollständig abgedecktIT-Sicherheit nach NIS2 / BSINicht adressiertKernthemaPersönliche Haftung GeschäftsführerBegrenzt (steuerlich)Vollständig (NIS2, DORA, DSGVO)Incident ReportingNicht erforderlichPflicht (NIS2, DORA)Branchenspezifische Anforderungen (DORA, BAIT)Nicht adressiertKernthema### GoBD
Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) sind ein BMF-Schreiben, das konkretisiert, wie steuerrelevante Dokumente in Deutschland elektronisch archiviert werden müssen — insbesondere hinsichtlich Unveränderlichkeit, Vollständigkeit und Prüfbarkeit.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/gobd)
### DSGVO
Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)
### GoBD
Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) sind ein BMF-Schreiben, das konkretisiert, wie steuerrelevante Dokumente in Deutschland elektronisch archiviert werden müssen — insbesondere hinsichtlich Unveränderlichkeit, Vollständigkeit und Prüfbarkeit.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/gobd)
### DORA
DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora)
### WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)
[###### Post | 23.02.2026
GoBD erklärt: Was IT-Verantwortliche wissen müssen
GoBD ist nicht Gesetz. Es ist ein BMF-Schreiben vom 28.11.2019, das die Interpretation von HGB §257 und AO §147 präzisiert. Aber es ist so vollständig und anerkannt, dass Finanzämter es als Standard anwenden.GoBD hat 3 Teile: Teil 1: Allgemeine Anforderungen (Nachvollziehbarkeit, Vollständigkeit, etc.) Teil 2: Spezifische Anforderungen für EDV-Systeme Teil 3: Spezifische Anforderungen für EinzelfallslösungenFür die meisten Unternehmen relevant: Anforderungen 1-7.
[](https://www.fast-lta.de//de/blog/gobd-erkl%C3%A4rt-was-it-verantwortliche-wissen-m%C3%BCssen "GoBD erklärt: Was IT-Verantwortliche wissen müssen")](https://www.fast-lta.de//de/blog/gobd-erkl%C3%A4rt-was-it-verantwortliche-wissen-m%C3%BCssen "GoBD erklärt: Was IT-Verantwortliche wissen müssen")[###### Post | 07.01.2026
NIS2 einfach erklärt: Wer ist betroffen und was muss ich tun?
NIS2 ist da. Die EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) trat in Deutschland am 6. Dezember 2025 in Kraft — in Form der Umsetzungsverordnung NIS2UmsuCG. Das bedeutet: Tausende Unternehmen müssen jetzt konkrete IT-Sicherheitsmaßnahmen umsetzen. Und wer nicht, riskiert Bußgelder bis 10 Millionen EUR.Dieser Artikel erklärt, wer betroffen ist, welche Anforderungen gelten, und was Sie jetzt tun müssen.
[](https://www.fast-lta.de//de/blog/nis2-einfach-erkl%C3%A4rt-wer-ist-betroffen-und-was-muss-ich-tun "NIS2 einfach erklärt: Wer ist betroffen und was muss ich tun?")](https://www.fast-lta.de//de/blog/nis2-einfach-erkl%C3%A4rt-wer-ist-betroffen-und-was-muss-ich-tun "NIS2 einfach erklärt: Wer ist betroffen und was muss ich tun?")[###### Post | 16.04.2026
Revisionssicherheit und DSGVO: Aufbewahrung vs. Löschpflicht
[](https://www.fast-lta.de//de/blog/revisionssicherheit-und-dsgvo-aufbewahrung-vs-l%C3%B6schpflicht "Revisionssicherheit und DSGVO: Aufbewahrung vs. Löschpflicht")](https://www.fast-lta.de//de/blog/revisionssicherheit-und-dsgvo-aufbewahrung-vs-l%C3%B6schpflicht "Revisionssicherheit und DSGVO: Aufbewahrung vs. Löschpflicht")
### 2. Die regulatorische Landschaft 2026 [\#](#2-die-regulatorische-landschaft-2026 "2. Die regulatorische Landschaft 2026")
Das regulatorische Umfeld für IT-Compliance in Deutschland ist in den letzten Jahren erheblich komplexer geworden. Die folgende Tabelle gibt einen Überblick über die zentralen Regelwerke, den betroffenen Personenkreis und die Kernforderungen.
#### Überblick: Regelwerke, Betroffene und Kernforderungen [\#](#%C3%BCberblick-regelwerke-betroffene-und-kernforderungen "Überblick: Regelwerke, Betroffene und Kernforderungen")
RegelwerkSeit / StatusBetroffene UnternehmenKernforderungen**DSGVO**25.05.2018Alle Unternehmen, die personenbezogene Daten verarbeitenRechtmäßigkeit der Verarbeitung, Betroffenenrechte, Meldepflicht bei Datenpannen, TOMs, Auftragsverarbeitung**GoBD**01.01.2015 (aktualisiert 2019)Alle buchführungspflichtigen UnternehmenUnveränderliche Archivierung steuerrelevanter Dokumente, Verfahrensdokumentation, GDPdU-Zugriff**NIS2 / BSIG-Novelle**Dezember 2025Mittlere und große Unternehmen in 18 kritischen SektorenRisikomanagement, Meldepflicht (24h/72h), Lieferkettensicherheit, persönliche Haftung Geschäftsführung**DORA**17.01.2025Finanzunternehmen und IKT-DrittanbieterDigitale Resilienz, ICT-Risikomanagement, Meldepflicht, TLPT (Threat-Led Penetration Testing)**KRITIS-Dachgesetz**In Kraft ab 2026 (Stufenplan)Betreiber kritischer Anlagen in 11 SektorenPhysische und digitale Resilienz, Registrierungspflicht, Meldepflicht**BSI IT-Grundschutz**Laufend aktualisiertBehörden (Pflicht), Unternehmen (de-facto-Standard)Strukturanalyse, Schutzbedarfsfeststellung, Umsetzung von Basis‑, Standard- und Kern-Absicherung**ISO 27001**Aktuelle Version: 2022Alle Unternehmen (freiwillig, aber de-facto Marktanforderung)ISMS (Informationssicherheits-Managementsystem), Risikobehandlung, kontinuierliche Verbesserung#### NIS2: Die weitreichendste Neuregelung seit Jahren [\#](#nis2-die-weitreichendste-neuregelung-seit-jahren "NIS2: Die weitreichendste Neuregelung seit Jahren")
Die NIS2-Richtlinie der EU wurde durch die BSIG-Novelle in deutsches Recht umgesetzt (Dezember 2025). Sie ist die weitreichendste Neuregelung der IT-Sicherheitspflichten für Unternehmen seit Einführung des IT-Sicherheitsgesetzes.
**Betroffene Unternehmen:** NIS2 gilt für mittlere Unternehmen (ab 50 Mitarbeiter oder 10 Mio. EUR Jahresumsatz) und große Unternehmen in 18 kritischen Sektoren — von Energie, Wasser und Gesundheit über Digitale Infrastruktur bis hin zu Verarbeitendem Gewerbe und Post- und Kurierdiensten. Die NIS2-Betroffenheit ist weiter gefasst als die bisherige KRITIS-Regelung.
**Kernpflichten:**
- Implementierung eines Risikomanagementsystems für IT-Sicherheit
- Meldung erheblicher Sicherheitsvorfälle: Erstmeldung innerhalb 24 Stunden, vollständige Meldung innerhalb 72 Stunden
- Sicherheit der Lieferkette: Bewertung von IT-Dienstleistern und Lieferanten
- Persönliche Haftung der Geschäftsführung (§38 BSIG-neu)
**Bußgelder:** Bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes (für wesentliche Einrichtungen); bis zu 7 Mio. EUR oder 1,4 % (für wichtige Einrichtungen).
#### DORA: Die Finanzsektor-Pflicht [\#](#dora-die-finanzsektor-pflicht "DORA: Die Finanzsektor-Pflicht")
Der Digital Operational Resilience Act ist seit dem 17. Januar 2025 verbindlich. DORA gilt für Banken, Versicherungen, Investmentfirmen, Zahlungsdienstleister und kritische IKT-Drittanbieter.
**Kernpflichten:**
- IKT-Risikomanagement mit schriftlichem Rahmenwerk
- Klassifizierung und Meldung von IKT-Sicherheitsvorfällen
- Testen der digitalen Resilienz (TLPT für significant institutions)
- Management von IKT-Drittparteienrisiken — Cloud-Provider und Software-Anbieter eingeschlossen
#### GoBD: Die steuerliche Grundlage [\#](#gobd-die-steuerliche-grundlage "GoBD: Die steuerliche Grundlage")
Die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern (BMF-Schreiben 28.11.2019) gelten für alle buchführungspflichtigen Unternehmen in Deutschland. GoBD ist kein Gesetz, aber behördliches Regelwerk mit verbindlichem Charakter für steuerliche Prüfungen.
**Kernpflichten:** Unveränderliche Archivierung steuerrelevanter Dokumente, Verfahrensdokumentation, Vollständigkeit, Nachvollziehbarkeit und GDPdU-konformer Prüfzugriff.
### KRITIS
KRITIS bezeichnet Organisationen und Einrichtungen, deren Ausfall oder Beeinträchtigung zu erheblichen Versorgungsengpässen oder Gefährdungen der öffentlichen Sicherheit führen würde — KRITIS-Betreiber unterliegen nach §8a BSI-Gesetz verschärften Anforderungen an IT-Sicherheit und müssen diese alle zwei Jahre gegenüber dem BSI nachweisen.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/kritis)
### DORA
DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora)
### GoBD
Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) sind ein BMF-Schreiben, das konkretisiert, wie steuerrelevante Dokumente in Deutschland elektronisch archiviert werden müssen — insbesondere hinsichtlich Unveränderlichkeit, Vollständigkeit und Prüfbarkeit.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/gobd)
**Wo steht Ihr Unternehmen bei IT-Compliance?**
Unsere Experten bewerten Ihre aktuelle Infrastruktur gegen NIS2, DSGVO, GoBD und branchenspezifische Anforderungen — kostenlos und unverbindlich.
### DSGVO
Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)
### NIS2
Die NIS2-Richtlinie (EU 2022/2555) ist eine EU-Regulierung, die wesentliche und wichtige Einrichtungen zu konkreten Cybersicherheitsmaßnahmen verpflichtet — darunter nachweisbares Backup-Management, Krisenmanagement und Meldepflichten — mit persönlicher Haftung der Geschäftsleitung bei Versäumnissen.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/nis2)
### GoBD
Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) sind ein BMF-Schreiben, das konkretisiert, wie steuerrelevante Dokumente in Deutschland elektronisch archiviert werden müssen — insbesondere hinsichtlich Unveränderlichkeit, Vollständigkeit und Prüfbarkeit.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/gobd)
[NIS2-Checkliste herunterladen ](https://www.fast-lta.de//de/lp/nis2-compliance-checkliste-47-pr%C3%BCfpunkte-f%C3%BCr-datensicherung "NIS2-Checkliste herunterladen")
### 3. Branchenspezifische Compliance-Anforderungen [\#](#3-branchenspezifische-compliance-anforderungen "3. Branchenspezifische Compliance-Anforderungen")
Auf die allgemeinen Anforderungen aus DSGVO, GoBD und NIS2 kommen branchenspezifische Regelwerke hinzu. Für Unternehmen in regulierten Sektoren ergibt sich ein mehrschichtiges Pflichtenprogramm.
#### Überblick: Compliance-Anforderungen nach Branche [\#](#%C3%BCberblick-compliance-anforderungen-nach-branche "Überblick: Compliance-Anforderungen nach Branche")
BrancheAllgemeine PflichtenBranchenspezifische PflichtenBesonderheiten**Finanzsektor (Banken, Versicherungen)**DSGVO, GoBD, NIS2DORA, BAIT, MaRisk, KWG, GwGSeit 17.01.2025 DORA verbindlich; BaFin-Prüfungen; 5 Jahre Aufbewahrung WpHG-Aufzeichnungen**Gesundheitswesen**DSGVO, GoBD, NIS2§630f BGB, §85 StrlSchG/§127 StrlSchV, §14 TFG, PatientendatenschutzgesetzStrahlentherapie-Aufzeichnungen: 30 Jahre; strafrechtlicher Schutz nach §203 StGB**Öffentliche Verwaltung**DSGVO, GoBDBSI IT-Grundschutz (Pflicht), E‑Government-Gesetze, Registraturordnungen, KRITIS (Bundesbehörden)Aktenführungspflichten nach Bundes- und Landesrecht; teils VS-NfD-Anforderungen**Industrie / KRITIS-Betreiber**DSGVO, GoBD, NIS2KRITIS-Dachgesetz, IT-SiG 2.0, Branchenspezifische Sicherheitsstandards (B3S)OT-Sicherheit; Produktionsdaten-Backup getrennt von IT; physische Resilienz**Alle anderen Unternehmen (KMU, Mittelstand)**DSGVO, GoBDNIS2 (ab 50 MA in betroffenen Sektoren), §257 HGB, §147 AOGoBD-Verfahrensdokumentation häufig fehlend; GoBD-Prüfung bei Betriebsprüfung#### Finanzsektor: Das dichteste Regelwerk [\#](#finanzsektor-das-dichteste-regelwerk "Finanzsektor: Das dichteste Regelwerk")
Finanzunternehmen sind die am stärksten regulierte Branche. Das Pflichtenprogramm umfasst:
**DORA (seit 17.01.2025):** DORA ist für alle in der EU beaufsichtigten Finanzunternehmen verbindlich. Das IKT-Risikomanagement-Rahmenwerk muss schriftlich vorliegen, regelmäßig getestet und von der Geschäftsleitung verabschiedet werden. Alle kritischen IKT-Drittanbieter — einschließlich Cloud-Provider und Backup-Software-Hersteller — müssen registriert und bewertet werden. Bei schwerwiegenden Vorfällen: Meldepflicht gegenüber BaFin — Erstmeldung innerhalb 4 Stunden nach Klassifizierung (spätestens 24 Stunden nach Entdeckung); Zwischenmeldung innerhalb 72 Stunden nach der Erstmeldung.
**BAIT (Bankaufsichtliche Anforderungen an die IT):** Die BAIT der BaFin konkretisieren §25a KWG für IT-Systeme von Kreditinstituten. Kernthemen: IT-Strategie, IT-Governance, Informationsrisikomanagement, Auslagerungen (Cloud!), Notfallmanagement.
**MaRisk (Mindestanforderungen an das Risikomanagement):** MaRisk gilt für Kredit- und Finanzdienstleistungsinstitute. Relevant für IT-Compliance: Anforderungen an Datensicherung, Backup-Recovery und Business Continuity.
→ [Branchenlösung Finanzdienstleister](/de/branchen/finanzdienstleister/)
### DSGVO
Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)
### GoBD
Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) sind ein BMF-Schreiben, das konkretisiert, wie steuerrelevante Dokumente in Deutschland elektronisch archiviert werden müssen — insbesondere hinsichtlich Unveränderlichkeit, Vollständigkeit und Prüfbarkeit.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/gobd)
### DORA
DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora)
### DORA
DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora)
[###### Post | 18.02.2026
DORA: Anforderungen an die digitale Betriebsresilienz im Finanzsektor
Der Digital Operational Resilience Act ist seit dem 17. Januar 2025 unmittelbar anwendbares EU-Recht. Anders als eine Richtlinie muss DORA nicht erst in nationales Recht überführt werden — die Verordnung (EU) 2022/2554 gilt direkt in allen Mitgliedstaaten. Für IT-Leiter, CISOs und Compliance-Verantwortliche in Banken, Versicherungen und Zahlungsdienstleistern bedeutet das: Handlungsbedarf besteht jetzt, nicht irgendwann.Dieser Artikel erklärt, wen DORA betrifft, welche konkreten Anforderungen an Datensicherung und Notfallwiederherstellung gelten, wie sich DORA zu BAIT, MaRisk und NIS2 verhält, und mit welchen Sanktionen Unternehmen bei Verstößen rechnen müssen.Lesezeit: ca. 8 Minuten | Aktualisiert: April 2026
[](https://www.fast-lta.de//de/blog/dora-anforderungen-an-die-digitale-betriebsresilienz-im-finanzsektor "DORA: Anforderungen an die digitale Betriebsresilienz im Finanzsektor")](https://www.fast-lta.de//de/blog/dora-anforderungen-an-die-digitale-betriebsresilienz-im-finanzsektor "DORA: Anforderungen an die digitale Betriebsresilienz im Finanzsektor")[](https://www.fast-lta.de//de/blog/bafin-dora-backup-recovery "DORA-Prüfung durch die BaFin: Was Finanzunternehmen jetzt bei Backup und Resilienz beachten müssen")[###### Fachartikel | 14.04.2026
DORA-Prüfung durch die BaFin: Was Finanzunternehmen jetzt bei Backup und Resilienz beachten müssen
Seit Januar 2026 prüft die BaFin die DORA-Umsetzung. Besonders im Backup- und Recovery-Bereich bestehen Lücken. Der Artikel zeigt, worauf die BaFin achtet, und wie Finanzunternehmen ihre Backup-Architektur DORA-konform aufstellen.
[](https://www.fast-lta.de//de/blog/bafin-dora-backup-recovery "DORA-Prüfung durch die BaFin: Was Finanzunternehmen jetzt bei Backup und Resilienz beachten müssen")](https://www.fast-lta.de//de/blog/bafin-dora-backup-recovery "DORA-Prüfung durch die BaFin: Was Finanzunternehmen jetzt bei Backup und Resilienz beachten müssen")
#### Gesundheitswesen: Lange Fristen, hohes Haftungsrisiko [\#](#gesundheitswesen-lange-fristen-hohes-haftungsrisiko "Gesundheitswesen: Lange Fristen, hohes Haftungsrisiko")
Das Gesundheitswesen kombiniert strenge Datenschutzanforderungen mit teils extremen Aufbewahrungsfristen:
**Aufbewahrungsfristen im Überblick:**
DokumenttypFristRechtsgrundlagePatientenakten (allgemein)10 Jahre nach letzter Behandlung§630f BGBPatientenakten (Minderjährige)Bis zum 28. Lebensjahr§630f BGBDiagnostische Röntgenaufnahmen10 Jahre§127 StrlSchVStrahlentherapie-Aufzeichnungen30 Jahre§85 StrlSchGBlutprodukte-Dokumentation30 Jahre§14 TFG**Strafrechtliches Risiko:** Patientendaten unterliegen dem §203 StGB (Verletzung von Privatgeheimnissen). Die Weitergabe an Cloud-Provider ist nur unter engen Voraussetzungen zulässig. On-Premises-Speicherung ist für Patientendaten der sichere Weg.
→ [Branchenlösung Gesundheitswesen](/de/branchen/gesundheitswesen/)
[###### Post | 02.04.2026
§28 RöV: Aufbewahrung von Röntgenaufnahmen korrekt umgesetzt
KRITISCH: §28 RöV macht eine Unterscheidung, die viele Kliniken/Praxen falsch umsetzen.Diagnostische Röntgenaufnahmen: 10 Jahre Aufzeichnungen über Strahlentherapie: 30 Jahre (!)Das ist die längste Aufbewahrungsfrist in Deutschland. Ein großer Fehler ist, alle Röntgen-Daten 10 Jahre aufzubewahren.
[](https://www.fast-lta.de//de/blog/28-r%C3%B6v-aufbewahrung-von-r%C3%B6ntgenaufnahmen-korrekt-umgesetzt "§28 RöV: Aufbewahrung von Röntgenaufnahmen korrekt umgesetzt")](https://www.fast-lta.de//de/blog/28-r%C3%B6v-aufbewahrung-von-r%C3%B6ntgenaufnahmen-korrekt-umgesetzt "§28 RöV: Aufbewahrung von Röntgenaufnahmen korrekt umgesetzt")
#### Öffentliche Verwaltung: BSI-Pflicht und KRITIS [\#](#%C3%B6ffentliche-verwaltung-bsi-pflicht-und-kritis "Öffentliche Verwaltung: BSI-Pflicht und KRITIS")
Behörden unterliegen dem BSI IT-Grundschutz als Pflichtstandard. Das bedeutet:
- Strukturierte Sicherheitsanalyse nach IT-Grundschutz-Methodik
- Schutzbedarfsfeststellung für alle IT-Systeme und Daten
- Umsetzung der IT-Grundschutz-Bausteine (CON.3 für Datensicherung besonders relevant)
- Für Bundesbehörden: Registrierung und Meldepflichten nach NIS2
**Digitale Aktenführung:** Die E‑Government-Gesetze von Bund und Ländern verpflichten Behörden zur elektronischen Aktenführung. Revisionssichere Speicherung ist dabei Voraussetzung, keine Option.
→ [Branchenlösung Öffentliche Verwaltung](/de/branchen/oeffentliche-verwaltung/)
### BSI IT-Grundschutz
Der BSI IT-Grundschutz ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltes Rahmenwerk mit standardisierten Sicherheitsanforderungen für IT-Systeme — für KRITIS-Betreiber, NIS2-betroffene Organisationen und Behörden ist er die zentrale Referenz für nachweisbare IT-Sicherheitsmaßnahmen.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/bsi-it-grundschutz)
[###### Post | 31.10.2025
Digitale Aktenführung in Behörden: Revisionssichere Umsetzung
[](https://www.fast-lta.de//de/blog/digitale-aktenf%C3%BChrung-in-beh%C3%B6rden-revisionssichere-umsetzung "Digitale Aktenführung in Behörden: Revisionssichere Umsetzung")](https://www.fast-lta.de//de/blog/digitale-aktenf%C3%BChrung-in-beh%C3%B6rden-revisionssichere-umsetzung "Digitale Aktenführung in Behörden: Revisionssichere Umsetzung")
#### Industrie und KRITIS: OT-Sicherheit trifft IT-Compliance [\#](#industrie-und-kritis-ot-sicherheit-trifft-it-compliance "Industrie und KRITIS: OT-Sicherheit trifft IT-Compliance")
Industrieunternehmen, insbesondere KRITIS-Betreiber aus den Sektoren Energie, Wasser, Ernährung und Produktion, stehen vor einer besonderen Herausforderung: Die Grenze zwischen IT (Information Technology) und OT (Operational Technology) verschwimmt. Cyberangriffe auf Produktionssysteme sind Realität.
**Besondere Anforderungen:**
- NIS2 gilt für Hersteller in kritischen Lieferketten (Abschnitt II, Anhang II)
- Das KRITIS-Dachgesetz (in Kraft seit 17. März 2026) fordert physische und digitale Resilienz für Betreiber kritischer Anlagen
- Branchenspezifische Sicherheitsstandards (B3S) für KRITIS-Betreiber in Energie, Wasser, Lebensmittel, Gesundheit
[###### Post | 14.03.2026
KRITIS-Dachgesetz: Was sich für Betreiber kritischer Infrastruktur ändert
Das KRITIS-Dachgesetz ist ein neuer Rechtsrahmen für kritische Infrastruktur (KRITIS) in Deutschland. Es ergänzt und verändert die bisherigen Anforderungen an Betreiber von Stromnetzen, Wasser, Telekommunikation und vielen anderen Sektoren.Der zentrale Unterschied: Während NIS2 sich auf IT-Sicherheit konzentriert, fordert das KRITIS-Dachgesetz physische und IT-Resilienz zusammen. Stromausfälle, Wasserversorgung und Bahnverkehr sind nicht nur IT-Probleme — sie sind physische Systeme mit IT-Komponenten.
[](https://www.fast-lta.de//de/blog/kritis-dachgesetz-was-sich-f%C3%BCr-betreiber-kritischer-infrastruktur-%C3%A4ndert "KRITIS-Dachgesetz: Was sich für Betreiber kritischer Infrastruktur ändert")](https://www.fast-lta.de//de/blog/kritis-dachgesetz-was-sich-f%C3%BCr-betreiber-kritischer-infrastruktur-%C3%A4ndert "KRITIS-Dachgesetz: Was sich für Betreiber kritischer Infrastruktur ändert")
### 4. Datenhaltung als Compliance-Fundament [\#](#4-datenhaltung-als-compliance-fundament "4. Datenhaltung als Compliance-Fundament")
Nahezu jedes Compliance-Regelwerk stellt Anforderungen an die Datenhaltung. Aufbewahrungsfristen, Unveränderlichkeit, Auffindbarkeit und sichere Löschung sind keine IT-Details — sie sind die technische Grundlage rechtlicher Compliance.
#### Aufbewahrungsfristen: Was wie lange gespeichert werden muss [\#](#aufbewahrungsfristen-was-wie-lange-gespeichert-werden-muss "Aufbewahrungsfristen: Was wie lange gespeichert werden muss")
DokumenttypAufbewahrungsfristRechtsgrundlageHandelsbücher, Inventare, Jahresabschlüsse10 Jahre§257 HGBBuchungsbelege10 Jahre§257 HGB, §147 AOEingangs- und Ausgangsrechnungen10 Jahre§14b UStGEmpfangene und gesendete Handelsbriefe6 Jahre§257 HGBLohnunterlagen (sozialversicherungsrelevant)5 Jahre nach Ende des Beschäftigungsverhältnisses§28f SGB IVSicherheitsrelevante Log-Dateien (NIS2)Mindestens 1 Jahr (Empfehlung BSI)§30 BSIG-neuDie Fristen beginnen jeweils mit dem Ende des Kalenderjahres, in dem das Dokument entstanden ist oder der Geschäftsvorfall abgeschlossen wurde. Eine Rechnung vom März 2026 muss also bis zum 31. Dezember 2036 aufbewahrt werden.
#### Revisionssicherheit: Die technische Grundanforderung [\#](#revisionssicherheit-die-technische-grundanforderung "Revisionssicherheit: Die technische Grundanforderung")
GoBD und HGB fordern, dass aufbewahrungspflichtige Dokumente **unveränderlich** gespeichert werden. Das bedeutet technisch: Einmal archivierte Daten dürfen nicht nachträglich geändert oder gelöscht werden — weder durch Administratoren noch durch Angreifer.
Diese Anforderung wird durch WORM-Speicher (Write Once, Read Many) erfüllt. WORM ist nicht gleich WORM:
- **Hardware-WORM (Silent Cubes):** Unveränderlichkeit auf Firmware-Ebene — unabhängig von Software, Betriebssystem und Benutzerberechtigungen. Keine Software-Konfiguration kann geschriebene Daten ändern oder löschen.
- **Software-WORM (Object Lock, Immutable Storage):** Unveränderlichkeit durch Software-Policies — abhängig von korrekter Konfiguration und Zugriffskontrollen. Mit ausreichenden Administrator-Rechten grundsätzlich umgehbar.
Für steuerliche Zwecke akzeptiert die Finanzverwaltung beide Wege — aber Hardware-WORM bietet die belastbarere Position bei einer Betriebsprüfung oder einem Compliance-Audit.
→ [Silent Cubes: Hardware-WORM für revisionssichere Archivierung](/de/produkte/silent-cubes/)
#### DSGVO-Spannungsfeld: Aufbewahrungspflicht vs. Löschpflicht [\#](#dsgvo-spannungsfeld-aufbewahrungspflicht-vs-l%C3%B6schpflicht "DSGVO-Spannungsfeld: Aufbewahrungspflicht vs. Löschpflicht")
Ein häufiges Missverständnis: Aufbewahrungspflichten (GoBD, HGB) und Löschpflichten (DSGVO Art. 17) stehen in einem scheinbaren Widerspruch. Die Auflösung ist klar: Solange eine gesetzliche Aufbewahrungspflicht besteht, überwiegt diese gegenüber dem DSGVO-Löschanspruch. Nach Ablauf der Aufbewahrungsfrist greift die DSGVO-Löschpflicht.
Das erfordert ein Archivierungssystem, das Aufbewahrungsfristen verwaltet und nach Fristablauf gezielt löschen kann — auch auf WORM-Speicher. Silent Cubes unterstützt fristbasiertes Retention Management: Aufbewahrungsfristen werden je Dokumentkategorie definiert; nach Ablauf wird das Dokument für die Löschung freigegeben.
### GoBD
Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) sind ein BMF-Schreiben, das konkretisiert, wie steuerrelevante Dokumente in Deutschland elektronisch archiviert werden müssen — insbesondere hinsichtlich Unveränderlichkeit, Vollständigkeit und Prüfbarkeit.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/gobd)
### WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)
### WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)
### WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)
### WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)
### WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)
### DSGVO
Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)
### DSGVO
Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)
### DSGVO
Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)
### GoBD
Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) sind ein BMF-Schreiben, das konkretisiert, wie steuerrelevante Dokumente in Deutschland elektronisch archiviert werden müssen — insbesondere hinsichtlich Unveränderlichkeit, Vollständigkeit und Prüfbarkeit.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/gobd)
### WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)
### WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)
### Immutable Storage
Immutable Storage bezeichnet Speichertechnologien, die gespeicherte Daten vor nachträglicher Veränderung oder Löschung schützen — wobei der entscheidende Unterschied darin liegt, ob dieser Schutz auf Hardware-Ebene (nicht umgehbar) oder auf Software-Ebene (durch Administratoren mit ausreichenden Rechten umgehbar) durchgesetzt wird.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/immutable-storage)
### WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)
### 5. Technische Compliance-Anforderungen [\#](#5-technische-compliance-anforderungen "5. Technische Compliance-Anforderungen")
Compliance ist kein reines Rechtsproblem — sie muss technisch umgesetzt werden. Die folgenden technischen Anforderungen entstammen verschiedenen Regelwerken, sind aber in der Praxis als einheitliches Paket umzusetzen.
#### Verschlüsselung [\#](#verschl%C3%BCsselung "Verschlüsselung")
**Was gefordert wird:** DSGVO Art. 32 fordert angemessene Verschlüsselung als technische Schutzmaßnahme. NIS2 (§30 BSIG-neu) verlangt Verschlüsselung als Teil des IT-Risikomanagements. ISO 27001 (Control A.8.24) fordert den Einsatz von Kryptographie.
**Was das konkret bedeutet:**
- Daten in Übertragung: TLS 1.2 oder höher für alle Netzwerkverbindungen
- Daten in Ruhe (at rest): AES-256 für Speichersysteme, Backups und Archive
- Schlüsselverwaltung: Eigene Kontrolle über Verschlüsselungsschlüssel — kein Anbieter-Managed-Key-Only
Silent Cubes und Silent Brick System unterstützen AES-256-Verschlüsselung at rest. Die Schlüssel bleiben unter Kontrolle des Betreibers.
#### Zugriffsprotokollierung und Audit Trail [\#](#zugriffsprotokollierung-und-audit-trail "Zugriffsprotokollierung und Audit Trail")
**Was gefordert wird:** GoBD Tz. 74 fordert einen vollständigen Audit Trail für alle archivierten Dokumente. NIS2 (§30 BSIG-neu) fordert Protokollierung sicherheitsrelevanter Ereignisse. DSGVO Art. 5(2) verlangt Nachweisbarkeit der Einhaltung (Accountability-Prinzip). ISO 27001 (Control A.8.15) fordert Protokollierung.
**Was das konkret bedeutet:**
- Lückenlose Aufzeichnung aller Zugriffe auf geschäftskritische Daten: Wer hat wann auf welches Dokument zugegriffen?
- Protokollierung aller administrativen Aktionen: Konfigurationsänderungen, Zugriffsrechtsvergaben, Exportvorgänge
- Protokolle selbst müssen unveränderlich sein — ein Log, das nachträglich geändert werden kann, ist kein Compliance-Log
- Aufbewahrung der Protokolle: Mindestens 1 Jahr (Empfehlung BSI für NIS2-relevante Logs)
#### Zugriffskontrolle und Identitätsmanagement [\#](#zugriffskontrolle-und-identit%C3%A4tsmanagement "Zugriffskontrolle und Identitätsmanagement")
**Was gefordert wird:** NIS2 (§30 BSIG-neu) fordert Zugriffsverwaltung als Teil des Risikomanagementsystems. DORA (Art. 9) verlangt Identity Access Management. DSGVO Art. 32 nennt Zugriffskontrolle als technische Schutzmaßnahme. BSI IT-Grundschutz ORP.4.
**Was das konkret bedeutet:**
- Rollenbasierte Zugriffskontrolle (RBAC): Jeder Benutzer erhält nur die Rechte, die er für seine Aufgabe benötigt
- Mehrstufige Authentifizierung (MFA) für alle privilegierten Zugänge
- Regelmäßige Überprüfung und Entzug nicht mehr benötigter Zugriffsrechte
- Getrennte Administrator-Konten: Produktionszugang und Administratorzugang müssen getrennt sein
- Keine geteilten Accounts: Jede Person hat eine eigene, identifizierbare Kennung
#### Air Gap für kritische Daten [\#](#air-gap-f%C3%BCr-kritische-daten "Air Gap für kritische Daten")
**Was gefordert wird:** NIS2 (§30 BSIG-neu) fordert die Fähigkeit zur Wiederherstellung nach einem Sicherheitsvorfall. Das BSI empfiehlt in seinen Ransomware-Schutzempfehlungen explizit offline oder air-gapped Backups. ISO 27001 (Control A.8.13) fordert Datensicherung und Wiederherstellbarkeit.
**Was das konkret bedeutet:** Ein Backup, das ständig mit dem Netzwerk verbunden ist, ist kein Schutz gegen Ransomware. Angreifer, die sich im Netzwerk bewegen, erreichen und verschlüsseln auch Online-Backups. Compliance erfordert ein Backup, das im Angriffsfall nicht erreichbar ist.
Das Silent Brick System bietet zwei Varianten des Air Gap:
- **Silent Brick Pro:** Physische Entnahme aus dem Slot des Controller X. Das Speichermodul wird nach dem Backup aus dem Controller entfernt — vollständiger physischer Air Gap, Reaktivierung immer manuell. Kein Angreifer, kein Ransomware-Prozess kann auf ein entnommenes Modul zugreifen.
- **Silent Brick Max Air:** Galvanische Trennung der eingebauten Datenträger — keine physische Entnahme nötig. Die Trennung erfolgt entweder manuell per Taster am Gerät oder automatisch im Air-Gap-Modus (automatisches Aufheben nach einer festgelegten Zeit, z. B. für Medienrotation bei regelmäßigen Backup-Fenstern).
→ [Silent Brick System: Air-Gap-Backup erklärt](/de/produkte/silent-brick-system/)
#### Incident Reporting und Meldepflichten [\#](#incident-reporting-und-meldepflichten "Incident Reporting und Meldepflichten")
**Was gefordert wird:** NIS2 (§30 BSIG-neu) fordert die Meldung erheblicher Sicherheitsvorfälle: Erstmeldung innerhalb von 24 Stunden an das BSI, vollständige Meldung innerhalb von 72 Stunden. DSGVO Art. 33 verlangt die Meldung von Datenpannen innerhalb von 72 Stunden an die zuständige Datenschutzbehörde. DORA (Art. 19) verlangt die Meldung schwerwiegender IKT-Vorfälle innerhalb von 4 Stunden (Erstmeldung).
**Was das konkret bedeutet:** Ohne technische Detektionsfähigkeit ist eine fristgerechte Meldung nicht möglich. Die 24-Stunden-Frist der NIS2 setzt voraus, dass ein Sicherheitsvorfall innerhalb von Stunden erkannt, klassifiziert und bewertet werden kann. Das erfordert:
- SIEM oder zumindest zentrales Log-Management
- Definierte Klassifizierungskriterien (Was ist ein „erheblicher” Vorfall?)
- Einen schriftlichen Incident-Response-Plan mit klaren Verantwortlichkeiten und Eskalationswegen
### DSGVO
Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)
### DSGVO
Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)
### GoBD
Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) sind ein BMF-Schreiben, das konkretisiert, wie steuerrelevante Dokumente in Deutschland elektronisch archiviert werden müssen — insbesondere hinsichtlich Unveränderlichkeit, Vollständigkeit und Prüfbarkeit.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/gobd)
### DSGVO
Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)
### DORA
DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora)
### DSGVO
Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)
### DORA
DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora)
### Air Gap
Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap)
[###### Post | 03.03.2026
Incident Response Plan erstellen: Vorlage und Anleitung
Ein Incident Response Plan (IRP) ist das Rückgrat der Resilienz. Es ist das Dokument, das Ihre Organisation auf einen Cyberangriff vorbereitet — bevor dieser passiert. Ein gut strukturiertes IRP reduziert Reaktionszeit signifikant und minimiert das Schadensausmaß. Aber viele Organisationen haben keinen, oder ein veraltetes, papierloses Konzept.Hier ist eine konkrete Vorlage mit 8 Pflichtabschnitten, die jeder IR-Plan haben muss.
[](https://www.fast-lta.de//de/blog/incident-response-plan-erstellen-vorlage-und-anleitung "Incident Response Plan erstellen: Vorlage und Anleitung")](https://www.fast-lta.de//de/blog/incident-response-plan-erstellen-vorlage-und-anleitung "Incident Response Plan erstellen: Vorlage und Anleitung")[](https://www.fast-lta.de//de/blog/bsi-grundschutz-plus-plus-backup-archivierung "BSI Grundschutz++")[###### Fachartikel | 29.04.2026
BSI Grundschutz++
Backup & Archivierung richtig umsetzen
[](https://www.fast-lta.de//de/blog/bsi-grundschutz-plus-plus-backup-archivierung "BSI Grundschutz++")](https://www.fast-lta.de//de/blog/bsi-grundschutz-plus-plus-backup-archivierung "BSI Grundschutz++")[###### Post | 10.04.2026
Warum Software-WORM nicht gleich Hardware-WORM ist
[](https://www.fast-lta.de//de/blog/warum-software-worm-nicht-gleich-hardware-worm-ist "Warum Software-WORM nicht gleich Hardware-WORM ist")](https://www.fast-lta.de//de/blog/warum-software-worm-nicht-gleich-hardware-worm-ist "Warum Software-WORM nicht gleich Hardware-WORM ist")
### 6. Compliance und persönliche Haftung [\#](#6-compliance-und-pers%C3%B6nliche-haftung "6. Compliance und persönliche Haftung")
Die Zeiten, in denen IT-Compliance ein reines IT-Thema war, sind vorbei. NIS2, DORA und die DSGVO-Bußgeldpraxis machen Geschäftsführer und Vorstände persönlich haftbar. Das ist keine Drohkulisse — es sind geltende Normen.
#### NIS2: Persönliche Haftung der Geschäftsleitung [\#](#nis2-pers%C3%B6nliche-haftung-der-gesch%C3%A4ftsleitung "NIS2: Persönliche Haftung der Geschäftsleitung")
§38 BSIG-neu (NIS2-Umsetzungsgesetz) ist eindeutig: Die Geschäftsleitung von wesentlichen und wichtigen Einrichtungen ist persönlich verantwortlich für die Umsetzung der Risikomanagementsmaßnahmen. Konkret bedeutet das:
- **Billigung:** Die Geschäftsleitung muss die Cybersicherheitsmaßnahmen des Unternehmens genehmigen und aktiv überwachen
- **Schulung:** Geschäftsführer und Vorstände sind verpflichtet, an Schulungen zu Cybersicherheitsrisiken teilzunehmen
- **Persönliche Haftung:** Bei schuldhafter Verletzung der Aufsichtspflicht haftet die Geschäftsleitung persönlich — nicht nur das Unternehmen
- **Kein Delegieren:** Die Übertragung an die IT-Abteilung oder einen externen Dienstleister entbindet die Geschäftsleitung nicht von der Haftung
**Bußgelder für das Unternehmen:** Bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes (wesentliche Einrichtungen); bis zu 7 Mio. EUR oder 1,4 % (wichtige Einrichtungen).
#### DORA: Verantwortung auf Leitungsebene [\#](#dora-verantwortung-auf-leitungsebene "DORA: Verantwortung auf Leitungsebene")
DORA (Art. 5) stellt klare Anforderungen an die Verantwortung des Leitungsorgans von Finanzunternehmen. Das Leitungsorgan muss:
- Die IKT-Risikostrategie genehmigen und regelmäßig überprüfen
- Verantwortung für die Implementierung des IKT-Risikorahmens tragen
- Ausreichende Ressourcen für die digitale Resilienz bereitstellen
- Regelmäßige Berichte über IKT-Risiken erhalten
Sanktionen: Die zuständige Aufsichtsbehörde (BaFin in Deutschland) kann neben Bußgeldern gegen das Unternehmen auch Maßnahmen gegen Einzelpersonen ergreifen.
#### DSGVO: Bußgelder und persönliche Verantwortung [\#](#dsgvo-bu%C3%9Fgelder-und-pers%C3%B6nliche-verantwortung "DSGVO: Bußgelder und persönliche Verantwortung")
Die DSGVO sieht Bußgelder von bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes vor (Art. 83 Abs. 5 DSGVO). Die Praxis zeigt: Bußgelder werden verhängt, und zwar nicht nur gegen Konzerne.
**Praktisch relevante Szenarien:**
- Datenpanne, die nicht binnen 72 Stunden gemeldet wird: Bußgeld nach Art. 83 DSGVO
- Datenspeicherung ohne ausreichende Rechtsgrundlage: Bußgeld + Anordnung zur Löschung
- Verarbeitung sensibler Daten ohne ausreichende TOMs: Bußgeld + Verarbeitungsverbot
Für Geschäftsführer gilt: Die DSGVO richtet sich an den Verantwortlichen — also das Unternehmen. Aber Geschäftsführer können bei vorsätzlicher oder grob fahrlässiger Verletzung ihrer Aufsichtspflicht nach §130 OWiG in Regress genommen werden.
#### Strafrechtliche Risiken [\#](#strafrechtliche-risiken "Strafrechtliche Risiken")
Neben zivilrechtlicher und ordnungsrechtlicher Haftung gibt es strafrechtliche Risiken:
- **§202a StGB (Ausspähen von Daten):** Wer Sicherheitsmaßnahmen vorsätzlich überwindet oder dies duldet
- **§203 StGB (Verletzung von Privatgeheimnissen):** Unbefugte Weitergabe von Berufsgeheimnissen — besonders relevant im Gesundheitswesen und bei Rechtsanwälten
- **§266 StGB (Untreue):** Geschäftsführer, die IT-Compliance-Pflichten grob vernachlässigen und dem Unternehmen dadurch Schaden zufügen
- **§370 AO (Steuerhinterziehung):** Bei vorsätzlich fehlerhafter oder manipulierter Buchführung
### DSGVO
Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)
### DORA
DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora)
### DORA
DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora)
### DSGVO
Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)
### DSGVO
Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)
### DSGVO
Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)
### DSGVO
Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)
[###### Post | 21.01.2026
Persönliche Haftung bei NIS2: Was Geschäftsführer wissen müssen
Das ist unbequem, aber wichtig: Geschäftsführer haften persönlich für NIS2-Verstöße. Nicht die Gesellschaft, nicht der IT-Leiter — der Geschäftsführer selbst. Das ist § 38 BSIG-neu. Das bedeutet: Strafen treffen nicht nur die Bilanz, sondern das private Vermögen.Dieser Artikel erklärt, was GF wissen müssen, um diese Haftung zu minimieren.
[](https://www.fast-lta.de//de/blog/pers%C3%B6nliche-haftung-bei-nis2-was-gesch%C3%A4ftsf%C3%BChrer-wissen-m%C3%BCssen "Persönliche Haftung bei NIS2: Was Geschäftsführer wissen müssen")](https://www.fast-lta.de//de/blog/pers%C3%B6nliche-haftung-bei-nis2-was-gesch%C3%A4ftsf%C3%BChrer-wissen-m%C3%BCssen "Persönliche Haftung bei NIS2: Was Geschäftsführer wissen müssen")[###### Post | 05.02.2026
Was kostet Non-Compliance wirklich? Bußgelder, Schäden, Haftung
[](https://www.fast-lta.de//de/blog/was-kostet-non-compliance-wirklich-bu%C3%9Fgelder-sch%C3%A4den-haftung "Was kostet Non-Compliance wirklich? Bußgelder, Schäden, Haftung")](https://www.fast-lta.de//de/blog/was-kostet-non-compliance-wirklich-bu%C3%9Fgelder-sch%C3%A4den-haftung "Was kostet Non-Compliance wirklich? Bußgelder, Schäden, Haftung")
**Compliance-Lücken schließen, bevor Bußgelder drohen**
Unsere Experten zeigen Ihnen, welche technischen Maßnahmen Sie in Ihrer Infrastruktur benötigen — konkret, priorisiert und umsetzbar.
[Beratung anfragen ](https://www.fast-lta.de//de/fast/kontakt "Beratung anfragen")
### 7. Compliance-Architektur: Referenzmodell [\#](#7-compliance-architektur-referenzmodell "7. Compliance-Architektur: Referenzmodell")
Eine compliance-fähige IT-Architektur ist keine Sammlung von Einzelmaßnahmen — sie ist ein strukturiertes System aus vier aufeinander aufbauenden Schichten.
#### Die vier Schichten der Compliance-Architektur [\#](#die-vier-schichten-der-compliance-architektur "Die vier Schichten der Compliance-Architektur")
```
┌────────────────────────────────────────────────────────────────────┐
│ Schicht 1: Datenhaltung und Archivierung │
│ ├── Revisionssichere Langzeitarchivierung (Silent Cubes) │
│ │ auf Firmware-Ebene, 10+ Jahre Betrieb │
│ │ -konform: unveränderlich, auffindbar, prüfbar │
│ ├── -Schutz für steuerrelevante Dokumente │
│ ├── Retention Management: automatische Fristenverwaltung │
│ └── GDPdU-konformer Prüfzugriff für Finanzamt und Wirtschaftspr. │
├────────────────────────────────────────────────────────────────────┤
│ Schicht 2: Backup und Wiederherstellung │
│ ├── Primäres On-Premises-Backup (Silent Brick System) │
│ │ Schnelle Wiederherstellung (RTO < 1h), volle Kontrolle │
│ ├── Air-Gap-Layer für -Resilienz │
│ │ Silent Brick Pro: physische Entnahme → physischer │
│ │ Silent Brick Max Air: galvanische Trennung, automatisierbar │
│ ├── 3-2-1-1-Strategie: 3 Kopien, 2 Medientypen, 1 offline │
│ └── Unveränderliche Backup-Kopien () │
├────────────────────────────────────────────────────────────────────┤
│ Schicht 3: Zugangssicherung und Protokollierung │
│ ├── Rollenbasierte Zugriffskontrolle (RBAC) │
│ ├── Multi-Faktor-Authentifizierung für privilegierte Zugänge │
│ ├── AES-256-Verschlüsselung at rest und in transit (TLS 1.2+) │
│ ├── Unveränderlicher Audit Trail (Zugriffe, Admin-Aktionen) │
│ └── Log-Aufbewahrung mindestens 1 Jahr │
├────────────────────────────────────────────────────────────────────┤
│ Schicht 4: Governance, Dokumentation und Incident Response │
│ ├── Schriftliche Verfahrensdokumentation ( Tz. 151–155) │
│ ├── IT-Sicherheits-Policy und ISMS (ISO 27001 / BSI IT-Grundsch.) │
│ ├── Incident-Response-Plan mit definierten Eskalationswegen │
│ ├── Meldeprozess für (24h BSI) und (72h DSB) │
│ └── Regelmäßige Audits, Schulungen, Managementreviews │
└────────────────────────────────────────────────────────────────────┘
```
#### FAST LTA Produkte in der Compliance-Architektur [\#](#fast-lta-produkte-in-der-compliance-architektur "FAST LTA Produkte in der Compliance-Architektur")
**Silent Cubes — Schicht 1: Revisionssichere Archivierung**
Silent Cubes ist das Hardware-WORM-System von FAST LTA für Langzeitarchivierung. Kernmerkmale für Compliance:
- **Hardware-WORM auf Firmware-Ebene:** Einmal geschriebene Daten sind physisch unveränderlich. Kein Administrator, kein Root-Zugriff und kein Software-Update können beschriebene Daten ändern. Das ist der entscheidende Unterschied zu Software-WORM.
- **Langzeitbetrieb:** Energieeffizienter Ruhemodus (3 Watt im Leerlauf). Konzipiert für Aufbewahrungsfristen von 10 bis 30 Jahren ohne Hardware-Wechsel — relevant für Strahlentherapie-Aufzeichnungen (30 Jahre, §85 StrlSchG), Blutprodukte-Dokumentation (30 Jahre, §14 TFG) und steuerliche Dokumente (10 Jahre, §257 HGB).
- **Integration:** Standard-Schnittstellen (CIFS/SMB, NFS) für alle gängigen DMS/ECM-Systeme.
- **Datenintegrität:** Automatische Integritätsprüfung (Self-Healing) — beschädigte Datenblöcke werden aus der Spiegelkopie repariert.
→ [Silent Cubes: Technische Details](/de/produkte/silent-cubes/)
**Silent Brick System — Schicht 2: Air-Gap-Backup**
Das Silent Brick System kombiniert schnellen Backup-Zugriff mit physisch gesichertem Air Gap:
- **Silent Brick Pro:** Sitzt im Slot des Controller X und ist physisch entnehmbar. Nach dem Backup wird das Modul aus dem Controller entnommen — kein Netzwerkzugriff, kein Ransomware-Angriff kann ein entnommenes Modul erreichen. Reaktivierung immer manuell.
- **Silent Brick Max Air:** Externes Gerät mit galvanischer Trennung der eingebauten Datenträger. Die Trennung wird entweder manuell per Taster am Gerät aufgehoben oder automatisch im Air-Gap-Modus nach einer definierten Zeit (z. B. täglich für 2 Stunden Backup-Fenster, danach wieder galvanisch getrennt).
- **Immutability:** Das Silent Brick System bietet zusätzlich software-unabhängige Immutability — auch ohne physischen Air Gap können Backups als unveränderlich gesetzt werden.
→ [Silent Brick System: Technische Details](/de/produkte/silent-brick-system/)
#### Warum On-Premises für Compliance-kritische Daten [\#](#warum-on-premises-f%C3%BCr-compliance-kritische-daten "Warum On-Premises für Compliance-kritische Daten")
Cloud-Lösungen können einzelne technische Compliance-Anforderungen erfüllen — aber sie schaffen neue Compliance-Risiken:
- **CLOUD Act:** US-Cloud-Provider können zur Herausgabe von Daten verpflichtet werden, auch wenn die Server in der EU stehen. Das kann mit DSGVO-Anforderungen kollidieren.
- **Schrems-II-Folgen:** Die rechtliche Unsicherheit bei EU-US-Datentransfers ist nicht abschließend gelöst.
- **Zugriffskontrolle:** Bei Cloud-WORM ist Software-WORM abhängig von IAM-Konfiguration — ein privilegierter Angreifer kann Policies ändern.
- **Offline-Verfügbarkeit:** Im Krisenfall (Netzwerkausfall, DDoS gegen Cloud-Provider) ist ein Cloud-Backup nicht erreichbar.
On-Premises-Archivierung und ‑Backup unter eigenem Dach eliminieren diese Risiken: kein Drittstaaten-Rechtsrahmen, physische Kontrolle, Offline-Verfügbarkeit im Krisenfall.
### WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)
### Immutable Storage
Immutable Storage bezeichnet Speichertechnologien, die gespeicherte Daten vor nachträglicher Veränderung oder Löschung schützen — wobei der entscheidende Unterschied darin liegt, ob dieser Schutz auf Hardware-Ebene (nicht umgehbar) oder auf Software-Ebene (durch Administratoren mit ausreichenden Rechten umgehbar) durchgesetzt wird.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/immutable-storage)
### Ransomware
Ransomware ist Schadsoftware, die Daten auf infizierten Systemen verschlüsselt und ein Lösegeld für die Entschlüsselung fordert — mit dem Ziel, Unternehmen und Behörden zur Zahlung zu zwingen, indem sie deren Betrieb lahmlegen.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/ransomware)
### Air Gap
Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap)
### DSGVO
Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)
### NIS2
Die NIS2-Richtlinie (EU 2022/2555) ist eine EU-Regulierung, die wesentliche und wichtige Einrichtungen zu konkreten Cybersicherheitsmaßnahmen verpflichtet — darunter nachweisbares Backup-Management, Krisenmanagement und Meldepflichten — mit persönlicher Haftung der Geschäftsleitung bei Versäumnissen.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/nis2)
### GoBD
Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) sind ein BMF-Schreiben, das konkretisiert, wie steuerrelevante Dokumente in Deutschland elektronisch archiviert werden müssen — insbesondere hinsichtlich Unveränderlichkeit, Vollständigkeit und Prüfbarkeit.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/gobd)
### GoBD
Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) sind ein BMF-Schreiben, das konkretisiert, wie steuerrelevante Dokumente in Deutschland elektronisch archiviert werden müssen — insbesondere hinsichtlich Unveränderlichkeit, Vollständigkeit und Prüfbarkeit.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/gobd)
### WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)
### WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)
### WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)
### WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)
### WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)
### Air Gap
Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap)
### DSGVO
Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)
### WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)
### WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)
[###### Post | 02.12.2025
DSGVO und Cloud-Speicherung: Rechtskonformer Umgang mit Personenbezogenen Daten
Die DSGVO erlaubt Datenspeicherung in der Cloud — aber mit strikten Bedingungen. Besonders Drittlandtransfers (in die USA, China, etc.) sind komplex. Viele Unternehmen wissen nicht, dass sie aktuell illegal agieren.Dieser Artikel erklärt die DSGVO-Anforderungen für Cloud-Speicherung.
[](https://www.fast-lta.de//de/blog/dsgvo-und-cloud-speicherung-rechtskonformer-umgang-mit-personenbezogenen-daten "DSGVO und Cloud-Speicherung: Rechtskonformer Umgang mit Personenbezogenen Daten")](https://www.fast-lta.de//de/blog/dsgvo-und-cloud-speicherung-rechtskonformer-umgang-mit-personenbezogenen-daten "DSGVO und Cloud-Speicherung: Rechtskonformer Umgang mit Personenbezogenen Daten")[](https://www.fast-lta.de//de/blog/eu-daten-in-den-h%C3%A4nden-der-usa "EU-Daten in den Händen der USA")[###### Fachartikel | 25.03.2025
EU-Daten in den Händen der USA
[](https://www.fast-lta.de//de/blog/eu-daten-in-den-h%C3%A4nden-der-usa "EU-Daten in den Händen der USA")](https://www.fast-lta.de//de/blog/eu-daten-in-den-h%C3%A4nden-der-usa "EU-Daten in den Händen der USA")[###### Post | 20.01.2026
EU Data Act: Was sich für Cloud-Nutzer ändert
Der EU Data Act trat am 12. September 2025 in Kraft. Das ist ein neues Gesetz, das Cloud-Provider zwingt, Ihre Daten portabler zu machen und die Abhängigkeit (Vendor Lock-in) zu reduzieren.Die praktischen Implikationen sind sehr wichtig für IT-Entscheider, aber viele kennen das Gesetz noch nicht.
[](https://www.fast-lta.de//de/blog/eu-data-act-was-sich-f%C3%BCr-cloud-nutzer-%C3%A4ndert "EU Data Act: Was sich für Cloud-Nutzer ändert")](https://www.fast-lta.de//de/blog/eu-data-act-was-sich-f%C3%BCr-cloud-nutzer-%C3%A4ndert "EU Data Act: Was sich für Cloud-Nutzer ändert")
### 8. Häufige Fehler [\#](#8-h%C3%A4ufige-fehler "8. Häufige Fehler")
#### Fehler 1: „Compliance ist eine IT-Aufgabe” [\#](%E2%80%9D#fehler-1-compliance-ist-eine-it-aufgabe%E2%80%9D "”Fehler")
Der häufigste und folgenreichste Fehler: Compliance wird an die IT-Abteilung delegiert und von der Geschäftsleitung nicht aktiv begleitet. NIS2 §38 BSIG-neu macht Geschäftsführer persönlich haftbar — das Delegieren an die IT ändert daran nichts. Compliance ist eine Führungsaufgabe, die IT-Kompetenz erfordert. Nicht umgekehrt.
**Was es bedeutet:** Geschäftsführer müssen die Risikomanagementsmaßnahmen genehmigen, ihre Umsetzung überwachen und an Schulungen teilnehmen. Wer das nicht tut, handelt fahrlässig im Sinne des Gesetzes.
#### Fehler 2: Keine Verfahrensdokumentation [\#](#fehler-2-keine-verfahrensdokumentation "Fehler 2: Keine Verfahrensdokumentation")
Die GoBD verlangen eine schriftliche Verfahrensdokumentation des gesamten Archivierungsprozesses (Tz. 151–155). Ohne sie ist keine elektronische Archivierung revisionssicher — unabhängig von der eingesetzten Technologie. In der Praxis fehlt die Verfahrensdokumentation bei der Mehrzahl der Unternehmen, die einer Betriebsprüfung unterliegen. Das Finanzamt kann in diesem Fall die Ordnungsmäßigkeit der Buchführung verwerfen.
**Was es bedeutet:** Die Verfahrensdokumentation muss beschreiben, welche Dokumente archiviert werden, wie sie erfasst und indexiert werden, auf welchem System sie gespeichert sind, wie die Unveränderbarkeit sichergestellt wird und wer verantwortlich ist. Ein sachverständiger Dritter muss den Prozess nachvollziehen können.
#### Fehler 3: Cloud-Daten ohne DSGVO-Check [\#](#fehler-3-cloud-daten-ohne-dsgvo-check "Fehler 3: Cloud-Daten ohne DSGVO-Check")
Viele Unternehmen nutzen US-Cloud-Dienste für die Ablage von Geschäftsdokumenten, ohne die DSGVO-Konformität geprüft zu haben. Der US CLOUD Act ermächtigt US-Behörden, von US-Unternehmen die Herausgabe von Daten zu verlangen — auch wenn die Server in Deutschland stehen. Für personenbezogene Daten ist das ein DSGVO-Risiko, das dokumentiert und bewertet sein muss.
**Was es bedeutet:** Für jeden Cloud-Provider, bei dem personenbezogene oder geschäftskritische Daten liegen, muss eine Risikoabwägung dokumentiert sein. Wenn das Risiko nicht akzeptabel ist: Daten auf eigene, souveräne Infrastruktur migrieren.
#### Fehler 4: Backup ohne Air Gap [\#](#fehler-4-backup-ohne-air-gap "Fehler 4: Backup ohne Air Gap")
Ein Backup, das permanent mit dem Netzwerk verbunden ist, bietet keinen Schutz gegen Ransomware. Angreifer, die sich lateral im Netzwerk bewegen, erreichen und verschlüsseln auch Online-Backups — in vielen Fällen innerhalb von Minuten. NIS2 fordert die Wiederherstellungsfähigkeit nach einem Sicherheitsvorfall. Ohne Air Gap ist diese Fähigkeit bei einem erfolgreichen Ransomware-Angriff nicht gegeben.
**Was es bedeutet:** Mindestens eine Backup-Kopie muss physisch vom Netzwerk getrennt oder offline sein. Silent Brick Pro (physische Entnahme) und Silent Brick Max Air (galvanische Trennung) liefern diese Fähigkeit — ohne komplizierte Zusatzsysteme.
#### Fehler 5: GoBD-Unkenntnis im Mittelstand [\#](#fehler-5-gobd-unkenntnis-im-mittelstand "Fehler 5: GoBD-Unkenntnis im Mittelstand")
Die GoBD gelten für alle buchführungspflichtigen Unternehmen in Deutschland — das sind mehrere Millionen. Dennoch ist die GoBD-Konformität im Mittelstand häufig lückenhaft: Emails werden nicht archiviert, Scanner-Workflows sind nicht dokumentiert, der Steuerberater speichert Daten auf seinem eigenen System und die Verfahrensdokumentation existiert nicht. Bei einer Betriebsprüfung werden solche Lücken sichtbar.
**Was es bedeutet:** GoBD-Compliance beginnt mit einem einfachen Check: Werden alle steuerrelevanten Dokumente unveränderlich archiviert? Gibt es eine Verfahrensdokumentation? Kann ein Prüfer GDPdU-Zugriff erhalten? Wenn nicht, ist Handlungsbedarf.
#### Fehler 6: Kein schriftlicher Incident-Response-Plan [\#](#fehler-6-kein-schriftlicher-incident-response-plan "Fehler 6: Kein schriftlicher Incident-Response-Plan")
NIS2 fordert die Meldung erheblicher Sicherheitsvorfälle innerhalb von 24 Stunden. Diese Frist ist nur einzuhalten, wenn der Meldeprozess vor dem Vorfall definiert und geübt wurde. In der Praxis fehlt in vielen Unternehmen ein schriftlicher Incident-Response-Plan — oder er existiert, ist aber seit Jahren nicht aktualisiert worden und der Mehrzahl der Mitarbeiter unbekannt.
**Was es bedeutet:** Ein Incident-Response-Plan muss schriftlich vorliegen, Verantwortlichkeiten benennen, Eskalationswege definieren und den Meldeprozess an BSI und ggf. Datenschutzbehörde beschreiben. Er muss regelmäßig geübt und nach Vorfällen aktualisiert werden.
### NIS2
Die NIS2-Richtlinie (EU 2022/2555) ist eine EU-Regulierung, die wesentliche und wichtige Einrichtungen zu konkreten Cybersicherheitsmaßnahmen verpflichtet — darunter nachweisbares Backup-Management, Krisenmanagement und Meldepflichten — mit persönlicher Haftung der Geschäftsleitung bei Versäumnissen.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/nis2)
### GoBD
Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) sind ein BMF-Schreiben, das konkretisiert, wie steuerrelevante Dokumente in Deutschland elektronisch archiviert werden müssen — insbesondere hinsichtlich Unveränderlichkeit, Vollständigkeit und Prüfbarkeit.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/gobd)
### US CLOUD Act
Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) ermächtigt US-Behörden, von US-Unternehmen die Herausgabe von Daten zu verlangen — unabhängig davon, wo diese Daten physisch gespeichert sind, auch wenn die Server in der EU stehen.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/us-cloud-act)
### US CLOUD Act
Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) ermächtigt US-Behörden, von US-Unternehmen die Herausgabe von Daten zu verlangen — unabhängig davon, wo diese Daten physisch gespeichert sind, auch wenn die Server in der EU stehen.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/us-cloud-act)
### DSGVO
Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)
### DSGVO
Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)
### Ransomware
Ransomware ist Schadsoftware, die Daten auf infizierten Systemen verschlüsselt und ein Lösegeld für die Entschlüsselung fordert — mit dem Ziel, Unternehmen und Behörden zur Zahlung zu zwingen, indem sie deren Betrieb lahmlegen.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/ransomware)
### Ransomware
Ransomware ist Schadsoftware, die Daten auf infizierten Systemen verschlüsselt und ein Lösegeld für die Entschlüsselung fordert — mit dem Ziel, Unternehmen und Behörden zur Zahlung zu zwingen, indem sie deren Betrieb lahmlegen.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/ransomware)
### Air Gap
Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap)
### NIS2
Die NIS2-Richtlinie (EU 2022/2555) ist eine EU-Regulierung, die wesentliche und wichtige Einrichtungen zu konkreten Cybersicherheitsmaßnahmen verpflichtet — darunter nachweisbares Backup-Management, Krisenmanagement und Meldepflichten — mit persönlicher Haftung der Geschäftsleitung bei Versäumnissen.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/nis2)
### GoBD
Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) sind ein BMF-Schreiben, das konkretisiert, wie steuerrelevante Dokumente in Deutschland elektronisch archiviert werden müssen — insbesondere hinsichtlich Unveränderlichkeit, Vollständigkeit und Prüfbarkeit.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/gobd)
### GoBD
Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) sind ein BMF-Schreiben, das konkretisiert, wie steuerrelevante Dokumente in Deutschland elektronisch archiviert werden müssen — insbesondere hinsichtlich Unveränderlichkeit, Vollständigkeit und Prüfbarkeit.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/gobd)
### GoBD
Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) sind ein BMF-Schreiben, das konkretisiert, wie steuerrelevante Dokumente in Deutschland elektronisch archiviert werden müssen — insbesondere hinsichtlich Unveränderlichkeit, Vollständigkeit und Prüfbarkeit.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/gobd)
### NIS2
Die NIS2-Richtlinie (EU 2022/2555) ist eine EU-Regulierung, die wesentliche und wichtige Einrichtungen zu konkreten Cybersicherheitsmaßnahmen verpflichtet — darunter nachweisbares Backup-Management, Krisenmanagement und Meldepflichten — mit persönlicher Haftung der Geschäftsleitung bei Versäumnissen.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/nis2)
[###### Post | 03.03.2026
Incident Response Plan erstellen: Vorlage und Anleitung
Ein Incident Response Plan (IRP) ist das Rückgrat der Resilienz. Es ist das Dokument, das Ihre Organisation auf einen Cyberangriff vorbereitet — bevor dieser passiert. Ein gut strukturiertes IRP reduziert Reaktionszeit signifikant und minimiert das Schadensausmaß. Aber viele Organisationen haben keinen, oder ein veraltetes, papierloses Konzept.Hier ist eine konkrete Vorlage mit 8 Pflichtabschnitten, die jeder IR-Plan haben muss.
[](https://www.fast-lta.de//de/blog/incident-response-plan-erstellen-vorlage-und-anleitung "Incident Response Plan erstellen: Vorlage und Anleitung")](https://www.fast-lta.de//de/blog/incident-response-plan-erstellen-vorlage-und-anleitung "Incident Response Plan erstellen: Vorlage und Anleitung")[###### Post | 23.02.2026
GoBD erklärt: Was IT-Verantwortliche wissen müssen
GoBD ist nicht Gesetz. Es ist ein BMF-Schreiben vom 28.11.2019, das die Interpretation von HGB §257 und AO §147 präzisiert. Aber es ist so vollständig und anerkannt, dass Finanzämter es als Standard anwenden.GoBD hat 3 Teile: Teil 1: Allgemeine Anforderungen (Nachvollziehbarkeit, Vollständigkeit, etc.) Teil 2: Spezifische Anforderungen für EDV-Systeme Teil 3: Spezifische Anforderungen für EinzelfallslösungenFür die meisten Unternehmen relevant: Anforderungen 1-7.
[](https://www.fast-lta.de//de/blog/gobd-erkl%C3%A4rt-was-it-verantwortliche-wissen-m%C3%BCssen "GoBD erklärt: Was IT-Verantwortliche wissen müssen")](https://www.fast-lta.de//de/blog/gobd-erkl%C3%A4rt-was-it-verantwortliche-wissen-m%C3%BCssen "GoBD erklärt: Was IT-Verantwortliche wissen müssen")[###### Post | 05.02.2026
Was kostet Non-Compliance wirklich? Bußgelder, Schäden, Haftung
[](https://www.fast-lta.de//de/blog/was-kostet-non-compliance-wirklich-bu%C3%9Fgelder-sch%C3%A4den-haftung "Was kostet Non-Compliance wirklich? Bußgelder, Schäden, Haftung")](https://www.fast-lta.de//de/blog/was-kostet-non-compliance-wirklich-bu%C3%9Fgelder-sch%C3%A4den-haftung "Was kostet Non-Compliance wirklich? Bußgelder, Schäden, Haftung")
### 9. Schritt-für-Schritt zur Compliance [\#](#9-schritt-f%C3%BCr-schritt-zur-compliance "9. Schritt-für-Schritt zur Compliance")
Der folgende Plan führt IT-Verantwortliche und Geschäftsführer strukturiert durch die Umsetzung. Alle Schritte sind prüfbar — mit jedem abgeschlossenen Schritt steigt die Compliance-Reife.
SchrittMaßnahmeZeitrahmenZiel / Erfolgskriterium**1****Bestandsaufnahme:** Welche Daten liegen wo? Welche Regelwerke sind anwendbar? NIS2-Betroffenheit prüfen (Sektor, Größenklasse).1 – 2 WochenVollständige Liste der relevanten Regelwerke und Datenkategorien**2****Gap-Analyse:** Aktuellen Zustand gegen Anforderungen aus DSGVO, GoBD, NIS2, DORA (falls relevant) und branchenspezifische Vorgaben prüfen.2 – 3 WochenDokumentierte Compliance-Lücken mit Priorisierung**3****Sofortmaßnahmen:** Kritische Lücken schließen — z. B. fehlende MFA für privilegierte Zugänge, unverschlüsselte Speichersysteme, fehlende Datenschutzbeauftragten-Bestellung.2 – 4 WochenKritische Risiken adressiert**4****Verfahrensdokumentation erstellen:** GoBD-konforme Beschreibung des Archivierungsprozesses. Parallel: IT-Sicherheits-Policy nach NIS2-Anforderungen.3 – 6 WochenSchriftliche, prüfbare Dokumentation vorhanden**5****Technische Infrastruktur aufbauen:** Hardware-WORM für Archiv (Silent Cubes), Air-Gap-Backup (Silent Brick System), Zugriffsprotokollierung, Verschlüsselung.4 – 10 WochenCompliance-konforme Speicher- und Backup-Architektur in Betrieb**6****Incident-Response-Plan erstellen:** Meldewege für NIS2 (BSI) und DSGVO (Datenschutzbehörde) definieren. Verantwortlichkeiten benennen. Erstübung planen.3 – 4 WochenSchriftlicher, getesteter Incident-Response-Plan**7****Schulungen durchführen:** Alle relevanten Mitarbeiter zu Datenschutz, IT-Sicherheit und Meldepflichten schulen. Geschäftsleitung zu NIS2-Haftung sensibilisieren.LaufendSchulungsnachweise vorhanden; Teilnahme dokumentiert**8****Betrieb und kontinuierliche Verbesserung:** Regelmäßige Audits (intern und extern), Aktualisierung aller Dokumente nach Vorfällen oder Regelungsänderungen, Managementreviews mindestens jährlich.LaufendCompliance als kontinuierlicher Prozess verankert#### Prioritätssetzung: Was zuerst? [\#](#priorit%C3%A4tssetzung-was-zuerst "Prioritätssetzung: Was zuerst?")
Wenn Ressourcen begrenzt sind, gilt folgende Reihenfolge:
1. **Backup mit Air Gap:** Schutz vor Datenverlust durch Ransomware ist der unmittelbar höchste Schutzwert.
2. **Verfahrensdokumentation GoBD:** Fehlt bei fast jedem Betrieb; bei der nächsten Betriebsprüfung sofort sichtbar.
3. **MFA für privilegierte Zugänge:** Einer der effektivsten Schutzmaßnahmen gegen Angreifer mit gestohlenen Credentials — schnell umsetzbar.
4. **Incident-Response-Plan:** NIS2 fordert ihn; die 24-Stunden-Frist ist ohne Plan nicht einhaltbar.
5. **WORM-Archivierung:** Für Unternehmen mit 10-jährigen Aufbewahrungspflichten oder längeren Fristen.
→ [Kostenloses Beratungsgespräch anfragen](/de/kontakt/) → [Silent Cubes und Silent Brick System kennenlernen](/de/produkte/)
### Air Gap
Ein Air Gap ist die physische Unterbrechung jeder Netzwerkverbindung zwischen einem Backup-System und der übrigen IT-Infrastruktur, sodass das System im Offline-Zustand keine adressierbare Netzwerkschnittstelle besitzt und damit für Ransomware und Angreifer unerreichbar ist.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/air-gap)
### GoBD
Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) sind ein BMF-Schreiben, das konkretisiert, wie steuerrelevante Dokumente in Deutschland elektronisch archiviert werden müssen — insbesondere hinsichtlich Unveränderlichkeit, Vollständigkeit und Prüfbarkeit.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/gobd)
### WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)
#### Gilt NIS2 für mein Unternehmen?
NIS2 gilt für mittlere Unternehmen (ab 50 Mitarbeiter oder 10 Mio. EUR Jahresumsatz) in 18 kritischen Sektoren. Dazu gehören: Energie, Verkehr, Bankwesen, Finanzmarktinfrastrukturen, Gesundheit, Trinkwasser, Abwasser, digitale Infrastruktur, IKT-Dienstleistungsmanagement, öffentliche Verwaltung, Weltraum, Post- und Kurierdienste, Abfallbewirtschaftung, Chemie, Lebensmittel, verarbeitendes Gewerbe, Anbieter digitaler Dienste und Forschung. Unternehmen, die unsicher sind, sollten sich an das BSI oder einen Compliance-Berater wenden. Die Selbstregistrierungspflicht beim BSI gilt ab dem Inkrafttreten der Umsetzungsverordnung.
### NIS2
Die NIS2-Richtlinie (EU 2022/2555) ist eine EU-Regulierung, die wesentliche und wichtige Einrichtungen zu konkreten Cybersicherheitsmaßnahmen verpflichtet — darunter nachweisbares Backup-Management, Krisenmanagement und Meldepflichten — mit persönlicher Haftung der Geschäftsleitung bei Versäumnissen.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/nis2)
#### Was ist der Unterschied zwischen NIS2 und DORA?
NIS2 ist ein horizontales Regelwerk für alle kritischen Sektoren — es setzt Mindeststandards für IT-Sicherheit und Resilienz. DORA ist sektorspezifisch für den Finanzbereich und geht in vielen Bereichen über NIS2 hinaus: strengere Anforderungen an IKT-Risikomanagement, kürzere Meldepflichtfristen (4 Stunden Erstmeldung), Pflicht zum Testen der digitalen Resilienz (TLPT) und detaillierte Anforderungen an das Management von IKT-Drittparteien. Finanzunternehmen müssen beide Regelwerke einhalten; im Konfliktfall gilt DORA als lex specialis.
### DORA
DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora)
### DORA
DORA (Digital Operational Resilience Act, EU 2022/2554) ist eine EU-Verordnung, die seit Januar 2025 für alle regulierten Finanzmarktteilnehmer gilt und konkrete Anforderungen an IKT-Risikomanagement, Backup-Systeme (Art. 11 und 12), Drittanbieter-Management (Art. 28–30) sowie Incident-Meldung stellt.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dora)
### NIS2
Die NIS2-Richtlinie (EU 2022/2555) ist eine EU-Regulierung, die wesentliche und wichtige Einrichtungen zu konkreten Cybersicherheitsmaßnahmen verpflichtet — darunter nachweisbares Backup-Management, Krisenmanagement und Meldepflichten — mit persönlicher Haftung der Geschäftsleitung bei Versäumnissen.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/nis2)
### NIS2
Die NIS2-Richtlinie (EU 2022/2555) ist eine EU-Regulierung, die wesentliche und wichtige Einrichtungen zu konkreten Cybersicherheitsmaßnahmen verpflichtet — darunter nachweisbares Backup-Management, Krisenmanagement und Meldepflichten — mit persönlicher Haftung der Geschäftsleitung bei Versäumnissen.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/nis2)
#### Reicht Software-WORM für GoBD-Compliance?
Formal ja — wenn die organisatorischen Maßnahmen vollständig dokumentiert und konsequent umgesetzt werden: getrennte Administrator-Konten, 4-Augen-Prinzip für Policy-Änderungen, lückenlose Zugriffsprotokollierung. Hardware-WORM bietet die belastbarere Position, weil die Unveränderbarkeit technisch erzwungen ist und nicht von Software-Konfiguration oder Zugriffskontrollen abhängt. Bei einer Betriebsprüfung oder einem Compliance-Audit ist Hardware-WORM leichter zu belegen: Das System kann physisch nicht verändern, es ist keine Frage von Berechtigungen oder Policies.
### WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)
### WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)
### WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)
### WORM
WORM (Write Once, Read Many) bezeichnet ein Speicherprinzip, bei dem Daten einmal geschrieben und danach technisch nicht mehr verändert oder gelöscht werden können — bei Hardware-WORM ist diese Unveränderlichkeit eine physikalische Eigenschaft des Speicher-Controllers, unabhängig von Software, Betriebssystem oder Benutzerprivilegien.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/worm)
[Software-WORM vs. Hardware-WORM: Was bei der Prüfung zählt ](# "Software-WORM vs. Hardware-WORM: Was bei der Prüfung zählt")
#### Wie hoch sind die Bußgelder bei DSGVO-Verstößen?
Die DSGVO sieht zwei Bußgeldrahmen vor: Bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes für weniger schwere Verstöße (z. B. fehlende Datenschutzfolgenabschätzung, mangelhafte Auftragsverarbeiterverträge). Bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes für schwerwiegende Verstöße (z. B. unrechtmäßige Datenverarbeitung, Verletzung von Betroffenenrechten). Der jeweils höhere Betrag gilt. In der Praxis verhängen Aufsichtsbehörden in Deutschland substanzielle Bußgelder — auch gegen mittelständische Unternehmen.
### DSGVO
Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)
#### Was muss ich als Geschäftsführer konkret tun, um NIS2-konform zu sein?
Erstens: Prüfen, ob Ihr Unternehmen in den Anwendungsbereich von NIS2 fällt. Zweitens: Die Risikomanagementsmaßnahmen des Unternehmens genehmigen und aktiv überwachen — das lässt sich nicht vollständig an die IT delegieren. Drittens: An Schulungen zu Cybersicherheitsrisiken teilnehmen (NIS2 macht das zur Pflicht). Viertens: Sicherstellen, dass ein Incident-Response-Plan existiert und die Meldewege an das BSI definiert sind. Wer diese vier Punkte abgehakt hat, erfüllt die Grundanforderungen der persönlichen Haftungsnorm des §38 BSIG-neu.
### NIS2
Die NIS2-Richtlinie (EU 2022/2555) ist eine EU-Regulierung, die wesentliche und wichtige Einrichtungen zu konkreten Cybersicherheitsmaßnahmen verpflichtet — darunter nachweisbares Backup-Management, Krisenmanagement und Meldepflichten — mit persönlicher Haftung der Geschäftsleitung bei Versäumnissen.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/nis2)
### NIS2
Die NIS2-Richtlinie (EU 2022/2555) ist eine EU-Regulierung, die wesentliche und wichtige Einrichtungen zu konkreten Cybersicherheitsmaßnahmen verpflichtet — darunter nachweisbares Backup-Management, Krisenmanagement und Meldepflichten — mit persönlicher Haftung der Geschäftsleitung bei Versäumnissen.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/nis2)
[NIS2 persönliche Haftung: Was Geschäftsführer wissen müssen ](# "NIS2 persönliche Haftung: Was Geschäftsführer wissen müssen")
#### Sind Backups bei Cloud-Anbietern DSGVO-konform?
Es kommt auf den Anbieter an. Europäische Cloud-Anbieter, die ausschließlich in der EU tätig und keinen US-Muttergesellschaften zugeordnet sind, können DSGVO-konform sein — vorausgesetzt, ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO liegt vor und die Daten verlassen die EU nicht. US-Cloud-Anbieter (AWS, Azure, GCP) sind wegen des US CLOUD Act problematisch: Der Act ermächtigt US-Behörden zur Herausgabe von Daten, auch wenn die Server in der EU stehen. Das ist ein Konflikt mit der DSGVO, der dokumentiert und bewertet sein muss. Für personenbezogene Daten mit hohem Schutzbedarf — Patientendaten, Mitarbeiterdaten, Finanzdaten — empfiehlt sich On-Premises-Speicherung unter eigenem Dach.
### US CLOUD Act
Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) ermächtigt US-Behörden, von US-Unternehmen die Herausgabe von Daten zu verlangen — unabhängig davon, wo diese Daten physisch gespeichert sind, auch wenn die Server in der EU stehen.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/us-cloud-act)
### US CLOUD Act
Der US CLOUD Act (Clarifying Lawful Overseas Use of Data Act, 2018) ermächtigt US-Behörden, von US-Unternehmen die Herausgabe von Daten zu verlangen — unabhängig davon, wo diese Daten physisch gespeichert sind, auch wenn die Server in der EU stehen.
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/us-cloud-act)
### DSGVO
Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)
### DSGVO
Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)
### DSGVO
Die DSGVO (Datenschutz-Grundverordnung, EU 2016/679) ist die europäische Regulierung zum Schutz personenbezogener Daten — für IT-Infrastruktur besonders relevant in Art. 5 (Grundsätze), Art. 17 (Recht auf Löschung), Art. 28 (Auftragsverarbeiter) und Art. 32 (Sicherheit der Verarbeitung).
[Mehr erfahren →](https://www.fast-lta.de//de/glossar/dsgvo)
[DSGVO und Cloud-Speicherung: Was erlaubt ist und was nicht ](# "DSGVO und Cloud-Speicherung: Was erlaubt ist und was nicht")