Security Architecture Glossar
Defense in Depth - Tiefenverteidigung
Defense in Depth (DiD) ist ein Sicherheitsarchitekturprinzip das mehrere unabhängige Schutzschichten übereinander schichtet, sodass das Versagen einer Schicht nicht zum vollständigen Systemkompromiss führt. Das Konzept stammt aus der Militärstrategie und wurde von der NSA für IT-Sicherheit adaptiert. Jede Schicht kompensiert Schwächen der anderen.
Defense in Depth (DiD) basiert auf einer einfachen Prämisse: Kein einzelnes Sicherheitssystem ist perfekt. Firewalls werden umgangen, Antivirus-Software erkennt nicht alle Malware, Mitarbeiter klicken auf Phishing-Links. Die Lösung ist nicht ein perfektes einzelnes System - es ist eine Architektur wo das Versagen einer Schicht durch die nächste Schicht abgefangen wird.
DiD-Schichtenmodell
Defense in Depth - Schichten von außen nach innen:
Schicht 1: Perimeter-Sicherheit
→ Firewall (NGFW): Port/Protocol-Filterung, IPS
→ DDoS-Schutz: Cloudflare, AWS Shield, Akamai
→ E-Mail-Gateway: Spam-Filter, Malware-Scan, Anti-Phishing
→ Web Application Firewall (WAF): OWASP Top 10 Schutz
→ DNS-Filterung: böse Domains blockieren (Cisco Umbrella, Zscaler)
Schicht 2: Netzwerksicherheit
→ Netzwerksegmentierung: VLANs, DMZ, Mikrosegmentierung
→ Intrusion Detection/Prevention (IDS/IPS)
→ Network Access Control (NAC): nur bekannte Geräte im Netz
→ VPN für Remote Access (oder ZTNA als Ersatz)
→ Network Detection & Response (NDR): Anomalie-Erkennung
Schicht 3: Endpoint-Sicherheit
→ EDR (Endpoint Detection & Response): CrowdStrike, Defender
→ Patch Management: aktuelle Betriebssysteme + Anwendungen
→ Festplattenverschlüsselung: BitLocker, FileVault
→ Application Whitelisting: nur erlaubte Software ausführbar
→ Host-based Firewall: lokale Firewall-Regeln
Schicht 4: Applikationssicherheit
→ Secure Development: SAST, DAST, SCA im CI/CD
→ Input Validation: SQL Injection, XSS verhindern
→ Authentication: MFA für alle Systeme
→ API Security: Rate Limiting, Auth, Input Validation
→ Web Application Firewall: applikationsspezifische Regeln
Schicht 5: Datensicherheit
→ Datenverschlüsselung (at rest + in transit)
→ Data Loss Prevention (DLP): Datenaustritt verhindern
→ Backup (3-2-1 Regel): Ransomware-Resilience
→ Access Controls: minimale Berechtigungen (Least Privilege)
→ Data Classification: wer braucht welche Daten?
Schicht 6: Identity & Access
→ Zero Trust: "Verify Explicitly" - jede Anfrage authentifizieren
→ Privileged Access Management (PAM): Admin-Zugang schützen
→ IGA: regelmäßige Berechtigungsreviews
→ Single Sign-On + MFA: zentrale Authentifizierung
Schicht 7: Monitoring & Response
→ SIEM: zentrale Log-Aggregation und Correlation
→ SOC: 24/7-Überwachung und Incident Response
→ Threat Intelligence: externe Bedrohungsinfos einbeziehen
→ Incident Response Plan: wenn alle Schichten versagen
Kernprinzip:
Angreifer MUSS alle relevanten Schichten überwinden
→ Erhöhter Aufwand + Zeit → bessere Detektionschancen!
→ Jede Schicht gibt dem Verteidiger Zeit zu reagierenWarum DiD unverzichtbar ist
Reales Angriffsszenario ohne DiD:
1. Phishing-Mail → Mitarbeiter klickt Link
2. Malware installiert → kein EDR (nur Antivirus, Signatur-basiert)
3. Lateral Movement → kein Netzwerksegmentierung, flaches Netz
4. Ransomware verschlüsselt Domain Controller + alle Shares
5. Backup verschlüsselt (war im selben Netz!)
→ Totalausfall, keine Chance zur Erkennung
Dasselbe Szenario MIT DiD:
1. Phishing-Mail → E-Mail-Gateway blockiert 95% (Schicht 1)
→ Mail kommt durch → Mitarbeiter klickt
2. DNS-Filter blockiert C2-Domain (Schicht 1) → Malware kann nicht nach Hause
→ Malware nutzt andere Technik (HTTPS zu legitimem Dienst)
3. EDR erkennt verdächtiges Verhalten (Schicht 3) → Alert → SOC
→ SOC reagiert in < 1 Stunde
4. Netzwerksegmentierung verhindert laterale Bewegung (Schicht 2)
→ Angreifer bleibt im Marketing-VLAN, kommt nicht zum DC
5. PAM: DC ist mit Privileged Access geschützt (Schicht 6)
→ Incident: 1 kompromittierter Endpoint → isoliert → bereinigt
→ Kein Produktionsausfall, Schaden begrenzt
DiD-Kosten-Nutzen:
→ Einzelne Schicht 100% sicher: unmöglich + extrem teuer
→ Viele Schichten 80% sicher: realistisch + deutlich günstiger
→ Ergebnis: 0.8^7 = 21% Chance für Angreifer (statt 100%!)
→ Realistischer: jede Schicht verlangsamt + gibt Zeit zur ErkennungDiD in der Praxis
Priorisierung der Schichten (Basis → Fortgeschritten):
Minimum Viable Security (KMU-Start):
Priorität 1: Patch Management (verhindert 85% bekannter Exploits)
Priorität 2: MFA für alle Accounts (verhindert Credential-Angriffe)
Priorität 3: EDR auf allen Endpunkten
Priorität 4: Backup (offline/immutable!) nach 3-2-1
Intermediate Security:
+ E-Mail-Security (SPF/DKIM/DMARC + Anti-Phishing)
+ Netzwerksegmentierung (Server-VLAN, Client-VLAN, DMZ)
+ Firewall-Regeln (deny-by-default)
+ SIEM: zentrale Logs + Alerting
Advanced Security:
+ Zero Trust Network Access (ZTNA)
+ PAM + JIT-Access für Admins
+ Threat Intelligence Integration
+ SOC oder MSSP
+ Kontinuierliche Schwachstellenscans (CTEM)
DiD-Assessment Fragen:
□ Wenn ein Mitarbeiter auf Phishing klickt - was passiert dann?
□ Wenn ein Endpoint kompromittiert wird - kann Angreifer sich lateral bewegen?
□ Wenn der DC ausfällt - was ist unser Recovery-Plan?
□ Wie lange dauert es bis wir einen Angriff entdecken (MTTD)?
→ Gute DiD: Angriff wird in Schicht 2-3 erkannt, bevor kritische Daten betroffen
