Security-by-Default (SBD) spielt beim Schutz unserer Daten eine immer wichtigere Rolle. Konkrete Vorgaben zu den datenschutzfreundlichen Voreinstellungen finden sich nicht nur im Artikel 25 der DSVGO, sondern auch im Koalitionsvertrag der Bundesregierung. Anwender sollten deshalb die wichtigsten Funktionen und Prinzipien sicherheitskonformer Softwarelösungen kennen und beachten.
Mit Security-by-Default haben IT-Verantwortliche ein mächtiges Werkzeug in der Hand, um sowohl die eigene Arbeit zu entlasten als auch die sichere Nutzung von Software durch Nutzer zu erleichtern.
(Bild: NicoElNino - stock.adobe.com)
Wenn Programme und Anwendungen bei Nutzerinnen und Nutzern Erfolg haben sollen, also regelmäßig und wie vorgesehen genutzt werden sollen, müssen sie einfach in der Bedienung sein. Das an sich kann in den meisten Fällen bereits eine große Herausforderung darstellen, wie UI- und UX-Designer sicherlich beschwören können. Für IT-Verantwortliche, die die passenden Programme für Unternehmen und Behörden auswählen, ausrollen und erklären müssen, kommt besonders im EU-Raum ein gewisser Rahmen an gesetzlichen Vorschriften hinzu, wenn es um die Sicherheit und den Schutz einer Vielzahl an verarbeiteten Daten geht. Konkret finden sich hierzu im Artikel 25 der DSGVO [Art.25 - EU-DSGVO - Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen - EU-Datenschutz-Grundverordnung (EU-DSGVO)] Angaben zu “datenschutzfreundlichen Voreinstellungen”, die Verantwortliche zu implementieren haben.
Schnell wird klar, dass es eigentlich einer eierlegenden Wollmilchsau bedarf. Eine leicht zu bedienende Anwendung, bei der die User eigentlich nichts falsch machen können, wenn es um die Sicherheit geht. Wenn es wahrscheinlich auch nicht für jede Aufgabe die hierzu perfekte Anwendung gibt, so gibt es doch einige Stellschrauben, mit denen sich die sichere Nutzung erleichtern lässt, ohne dass Nutzer es bemerken müssen. Die Rede ist von Security-by-Default-Einstellungen, die allerdings längst noch nicht in allen Programmen zum Standard gehören. Den Nutzen von Security-by-Default hat auch die deutsche Bundesregierung erkannt und das Thema daher im Koalitionsvertrag festgehalten.
Blocklisten, Versandregeln und App-Stores sind bekannte SBD-Arten
Zu den bekannteren Security-by-Default-Funktionen, mit denen Endnutzer in Berührung kommen, gehören etwa Blocklisten bei Webbrowsern, über die bestimmte Webseiten im Unternehmensnetzwerk gesperrt werden, Admin-Barrieren beim Software-Downloads oder die Ausführung von .exe-Dateien. Stattdessen können sich Nutzer in eigenen Enterprise App-Stores an einer Auswahl freigegebener Programme bedienen.
Im Bereich des sicheren Datentransfers, etwa über eingebundene Lösungen im E-Mail-Client, bieten bestimmte Versandregeln in Bezug auf Betreff, Dateiformate, Domains und andere Parameter zahlreiche Steuerungsmöglichkeiten. Low-Code- und auch No-Code-Anwendungen zielen hier in die gleiche Richtung, da sie Nutzern einen Baukasten an Modulen bieten, mit denen sie zum Beispiel bestimmte Datenaustauschprozesse oder das Zusammenspiel von Apps automatisieren können, ohne dabei direkten Zugriff auf Datenbanken oder ähnliches zu haben.
Wenn es darum geht, eine passende Software-Lösung zu finden, mit welcher Nutzer auf kritische und sensible Daten zugreifen oder diese bearbeiten können, empfiehlt es sich daher als Teil der IT-Sicherheitsstrategie einen besonderen Blick auf SBD-Aspekte zu werfen, um sowohl die IT-Abteilung als auch die Nutzer zu entlasten. Als eine mögliche Orientierungshilfe kann hier eine Übersicht des britischen National Cyber Security Centre fungieren, welche mehrere Prinzipien für SBD definiert. Die Behörde weist darauf hin, dass es nicht als abschließende Klassifizierung oder gar ein Prüfsiegel für eine Software verstanden werden soll. Allerdings lässt sich aus diesen Prinzipien eine kleine Checkliste ableiten:
1. Wurden die Sicherheitsaspekte bei der Entwicklung berücksichtigt und nicht erst nachrangig behandelt?
Sicherheitsaspekte in entsprechenden Software-Anwendungen sollten immer bereits bei deren Entstehung eine Rolle spielen und nicht als Option gesehen werden. Je grundlegender Sicherheit in der Entwicklung verankert ist, desto höher ist die Wahrscheinlichkeit, dass die Lösung einen hohen Grad an Sicherheit bietet. Wenn Anwendungen zuerst auf Bedienbarkeit programmiert werden und erst nachträglich geprüft wird, wie Sicherheitsfunktionen daran angepasst werden können, spricht das kaum für ein ernsthaftes Sicherheitsbewusstsein.
2. Schränkt die Sicherheit die Bedienbarkeit der Software ein?
Die sicherste Software der Welt bringt nichts, wenn sie von den Nutzer nicht oder falsch benutzt wird. Wie eine Lösung das Spannungsfeld zwischen Sicherheit und Bedienbarkeit behandelt, ist eines der entscheidendsten Prüfkriterien.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
3. Funktionieren die Sicherheitsfunktionen direkt bei der Implementierung eines Produktes ohne umfangreiche Konfiguration?
Die wichtigsten Sicherheitsfunktionen sollten beim Rollout einsatzbereit sein, noch bevor der erste Nutzer die Software verwendet. Ausgenommen sind hier verhältnismäßige Anpassungen an das eigene IT-System.
4. Werden die Sicherheitsfunktionen regelmäßig weiterentwickelt?
Die Bedrohungslage von IT-Systemen und Programmen verändert sich ständig und es gibt keinen Endzustand. Eine passende Lösung sollte daher immer auf der Höhe der Zeit sein und mit kontinuierlichen Updates weiterentwickelt werden.
5. Können Nutzer ohne spezielles technisches Vorwissen die Sicherheitsfunktionen nutzen?
Das ist wahrscheinlich eine der beiden entscheidenden Fragen in Bezug auf die Endnutzer. Eine sichere Bedienung sollte sich nicht hinter unzähligen Fenstern, Anmeldungen und Formularen verbergen und so leicht wie möglich sein.
6. Ist die Sicherheit gewährleistet, wenn Nutzer die Software auf eine erwartbare Art und Weise benutzen?
Das ist die zweite entscheidende Frage, die sich auf das Nutzerverhalten richtet. Wie wahrscheinlich ist eine (unabsichtlich oder absichtlich) unsichere Nutzung trotz Einhalten der SBD-Grundsätzen?
Mit SBD-Funktionen in Software-Lösungen haben IT-Verantwortliche mächtige Werkzeuge in der Hand, um sowohl die eigene Arbeit zu entlasten als auch die sichere Nutzung von Software durch Nutzer zu erleichtern. Daher empfiehlt es sich, bei der Suche und der Anschaffung neuer Software besonders auf diese zu achten. Sie bilden dabei einen wichtigen Teil innerhalb einer IT-Sicherheitsstrategie, der strukturelle Sicherheit erleichtert.
Die im Koalitionsvertrag der neuen deutschen Bundesregierung genannten weiteren Vorgaben hierzu können durchaus sinnvoll sein, um vor allem flächendeckend den Sicherheitsstandard von Software im EU-Raum zu erhöhen. Interessant wird hierbei besonders, wie die IT-Sicherheitsverantwortlichen den Spagat zwischen einfachen und sicheren Arbeiten meistern.
Über den Autor: Ari Albertini ist Revenue Flow Manager sowie Mitglied der Geschäftsleitung des Datentransferspezialisten FTAPI Software GmbH. Nach Stationen in der Wissenschaft und der Projektberatung ist er seit 2015 bei FTAPI, wo er sich um Themen wie agiles Arbeiten und Innovationen kümmert. Er ist außerdem regelmäßig als Autor von Fachbeiträgen sowie als Sprecher bei Branchen-Events tätig.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:quality(80)/p7i.vogel.de/wcms/89/7c/897c7f65afc68ddeec732573f7e2d778/0125743535v1.jpeg "„Secure by Design“ repräsentiert einen fundamentalen Wandel in der IT-Sicherheit von reaktiven hin zu proaktiven Maßnahmen. (Bild: © 怡如 柯 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2a/f7/2af7019fe0a6d0cfc837f96a11690322/0123700238v2.jpeg "Carsten Meywirth, Leiter der Abteilung Cybercrime im Bundeskriminalamt, betont bei der Cyber Security Conference von Schwarz Digits die Notwendigkeit des Schutzes der eigenen Daten. (Bild: Schwarz Digits)")