Defense in Depth
Was ist Defense in Depth?
Defense in DepthSicherheitsstrategie, die unabhangige Kontrollen schichtet, sodass beim Versagen einer Schicht andere weiterhin verhindern, erkennen oder eindammen.
Defense in Depth, ursprunglich militarisch, schichtet vielfaltige und teilredundante Kontrollen uber Menschen, Prozesse und Technik. Typische Schichten: Perimeter (Firewall, WAF, DDoS-Schutz), Netzwerk (Segmentierung, IDS/IPS), Endpoint (EDR, Hardening), Anwendung (Validierung, CSP, SAST/DAST), Identitat (MFA, Least Privilege), Daten (Verschlusselung, DLP), Monitoring (SIEM, SOC), Recovery (Backups, IR). Keine Einzelmassnahme ist perfekt; Layering erhoht die Angreiferkosten und die Chance, dass eine Schicht greift, was andere durchgelassen haben. Es erganzt Zero Trust, das implizites Vertrauen zwischen Schichten hinterfragt, und passt zu Frameworks wie NIST CSF oder ISO/IEC 27001.
● Beispiele
- 01
Klick auf Phishing-Link: Secure Email Gateway, SmartScreen, EDR, FIDO2-MFA, Least Privilege und SIEM-Alarmierung sind separate Verteidigungslinien.
- 02
Mehrere Backup-Stufen (Snapshot, Offline-Kopie, WORM) uberstehen Ransomware, die Live-Systeme erwischt.
● Häufige Fragen
Was ist Defense in Depth?
Sicherheitsstrategie, die unabhangige Kontrollen schichtet, sodass beim Versagen einer Schicht andere weiterhin verhindern, erkennen oder eindammen. Es gehört zur Kategorie Compliance und Frameworks der Cybersicherheit.
Was bedeutet Defense in Depth?
Sicherheitsstrategie, die unabhangige Kontrollen schichtet, sodass beim Versagen einer Schicht andere weiterhin verhindern, erkennen oder eindammen.
Wie funktioniert Defense in Depth?
Defense in Depth, ursprunglich militarisch, schichtet vielfaltige und teilredundante Kontrollen uber Menschen, Prozesse und Technik. Typische Schichten: Perimeter (Firewall, WAF, DDoS-Schutz), Netzwerk (Segmentierung, IDS/IPS), Endpoint (EDR, Hardening), Anwendung (Validierung, CSP, SAST/DAST), Identitat (MFA, Least Privilege), Daten (Verschlusselung, DLP), Monitoring (SIEM, SOC), Recovery (Backups, IR). Keine Einzelmassnahme ist perfekt; Layering erhoht die Angreiferkosten und die Chance, dass eine Schicht greift, was andere durchgelassen haben. Es erganzt Zero Trust, das implizites Vertrauen zwischen Schichten hinterfragt, und passt zu Frameworks wie NIST CSF oder ISO/IEC 27001.
Wie schützt man sich gegen Defense in Depth?
Schutzmaßnahmen gegen Defense in Depth kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
● Verwandte Begriffe
- compliance№ 167
CIA-Triade
Grundlegendes Modell der Informationssicherheit, das Ziele in Vertraulichkeit, Integritat und Verfugbarkeit gliedert.
- identity-access№ 854
Prinzip der geringsten Rechte
Sicherheitsprinzip, das jedem Nutzer, Prozess oder Dienst nur jene Rechte gewährt, die er zwingend für seine Aufgabe benötigt — nicht mehr.
- compliance№ 936
Risikomanagement
Der koordinierte Prozess zur Identifikation, Analyse, Bewertung, Behandlung, Überwachung und Kommunikation von Risiken, um sie innerhalb der von der Organisation definierten Toleranz zu halten.
- compliance№ 731
NIST Cybersecurity Framework
Freiwilliges, risikobasiertes Rahmenwerk des US-amerikanischen NIST, das Cybersicherheitsziele in sechs Kernfunktionen gliedert.