Starke pr\u00e4ventive Ma\u00dfnahmen haben das Potential, Cyberattacken komplett abzuwehren. Somit kommt es erst gar nicht so weit, dass Ma\u00dfnahmen zur Eind\u00e4mmung getroffen werden m\u00fcssen. Sobald aber eine ernsthafte Bedrohung da ist, ist den meisten Entscheidungstr\u00e4gern klar, dass nun Ressourcen in die Sicherheit flie\u00dfen m\u00fcssen. Das am weitesten verbreitete Problem ist aber abzusch\u00e4tzen, wie viel in die Pr\u00e4vention investiert werden sollte. <\/p>\n\n\n\n
Defense in Depth – Ein mehrschichtiger Ansatz zur Cyber-Sicherheit<\/h2>\n\n\n\n
Die Sicherheit von digitalen Systemen kann in sieben Schichten unterteilt werden, auf denen Angriffe stattfinden und Ma\u00dfnahmen implementiert werden k\u00f6nnen [4]. Diese sind:<\/p>\n\n\n\n
- \n
- Mission Critical Assets<\/strong>: Diese Ebene konzentriert sich auf den Schutz der wichtigsten Assets einer Organisation, wie z.B. kritische Infrastrukturen oder sensible Daten. Sie erfordert die Identifikation dieser Assets und die Implementierung spezieller Schutzma\u00dfnahmen.<\/li>\n\n\n\n
- Data Security<\/strong>: Daten sind oft das prim\u00e4re Ziel von Cyberangriffen. Diese Ebene beinhaltet Ma\u00dfnahmen zum Schutz und zur sicheren Handhabung von Daten, wie Verschl\u00fcsselung, Zugriffskontrollen und Sicherheitskopien.<\/li>\n\n\n\n
- Application Security<\/strong>: Diese Schicht konzentriert sich auf die Sicherheit von Software und Anwendungen, einschlie\u00dflich der Sicherheit des Quellcodes, der Nutzung sicherer Programmierpraktiken und der Pr\u00fcfung von Software auf Sicherheitsl\u00fccken.<\/li>\n\n\n\n
- Endpoint Security<\/strong>: Endpunkte sind Ger\u00e4te wie Computer, Smartphones und Tablets, die auf ein Netzwerk zugreifen. Die Sicherheit dieser Ger\u00e4te ist entscheidend, da sie oft Eintrittspunkte f\u00fcr Angriffe sind.<\/li>\n\n\n\n
- Network Security<\/strong>: Diese Ebene beinhaltet den Schutz der Netzwerkstrukturen, um unbefugten Zugriff zu verhindern. Sie umfasst Ma\u00dfnahmen wie Firewalls, Intrusion Detection Systems und Netzwerksegmentierung.<\/li>\n\n\n\n
- Perimeter Security<\/strong>: Die Perimetersicherheit konzentriert sich auf den Schutz der Netzwerkperimeter, d.h. den Punkt, an dem das interne Netzwerk eines Unternehmens auf externe Netzwerke trifft. Dies beinhaltet Ma\u00dfnahmen wie die Installation von Firewalls und demilitarisierten Zonen (DMZs).<\/li>\n\n\n\n
- Human Layer<\/strong>: Der menschliche Faktor ist oft das schw\u00e4chste Glied in der Sicherheitskette. Diese Ebene konzentriert sich auf Bildung und Sensibilisierung der Nutzer, um sicherheitsbewusstes Verhalten zu f\u00f6rdern und menschliche Fehler zu minimieren, die zu Sicherheitsverletzungen f\u00fchren k\u00f6nnen.<\/li>\n<\/ol>\n\n\n\n
![\"7](\"https:\/\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2023\/08\/rWm-jrOWJZ5V4ueE_VWEk-sdOgGFH_YdSM0CoJu_Fw2Kas6ZTOsI5vCPocxqS1E9a7o-37SozDgr3Si256Qpjj7cpBTcOeuBBjd2CUhudf9Rgln15pXB_tBOqKDTQ9lwhlWVs82aWIQMbTo10hqcgeg.png\")
7 Schichten der Cyber-Security [4]<\/figcaption><\/figure>\n\n\n\n Eine hilfreiche Strategie ist \u201cDefense in Depth\u201d, was auch als Castle Approach bezeichnet wird, was sich von dem Aufbau einer Festung mit mehreren Mauern und Zonen herleitet. Die Idee ist, dass durch die Kombination von Sicherheitsma\u00dfnahmen auf verschiedenen Ebenen die wahre St\u00e4rke des Sicherheitssystems entsteht. Hat ein Angreifer eine Schicht durchbrochen, warten dahinter noch weitere Blockaden auf ihn. Ein wichtiges Konzept ist dabei, dass jede Ma\u00dfnahme so implementiert werden muss, als sei sie die letzte H\u00fcrde f\u00fcr den Angreifer. [5]<\/p>\n\n\n\n
Defense in Depth nutzt die oben beschriebenen Schichten, ist aber nicht darauf limitiert. Auch administrative Entscheidungen, wie Unternehmensvorschriften k\u00f6nnen Teil einer Defense in Depth Strategie sein.<\/p>\n\n\n\n
Kein System ist sicher – dieser Grundsatz pr\u00e4gt die Welt der digitalen Sicherheit. Das bedeutet f\u00fcr uns eine Ma\u00dfnahme wird es nie schaffen, absolute Sicherheit zu bieten, sondern sich ihr nur ann\u00e4hern. Daher werden zus\u00e4tzliche Investitionen in eine Ma\u00dfnahme mit steigendem Fortschritt immer weniger zur gesamten Sicherheit beitragen.<\/p>\n\n\n\n
Defense in Depths kann dabei helfen, die eingesetzten Ressourcen effektiver zu verteilen, indem zuerst in Ma\u00dfnahmen auf Schichten investiert wird, wo geringe Investitionen noch viel beitragen k\u00f6nnen.<\/p>\n\n\n\n
Hier ein kleines Beispiel. Es gibt die Ma\u00dfnahmen A und B, die je nach H\u00f6he der Investition einen bestimmten Wert zur Gesamtsicherheit beitragen. Es gibt ein Budget von 20 Einheiten, das in die Sicherheit investiert werden soll. Werden die 20 Einheiten in Ma\u00dfnahme A investiert, bleiben keine Ressourcen f\u00fcr Ma\u00dfnahme B. Die folgenden Diagramme zeigen, wie sich die Sicherheit durch die einzelnen Ma\u00dfnahmen erh\u00f6ht, sowie die Summe aus beiden, abh\u00e4ngig von dem Betrag x, der in A investiert wird. Die Investition in B betr\u00e4gt 20 – x.<\/p>\n\n\n\n
![\"\"\/](\"https:\/\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2023\/08\/lr9RrVBtbJ1J1WPOGiAS6oHwPjQr5QhMp4AwFJO0oxfKzsS0_nGm-D34kYkj3GZH91EV6LtqbTj1rL-xWvs2654___M6fl1kblrgWR4FrKta5l6xkNnSdDZEOt9ry9I4cQh0WLm_W0bOS84uhkIKX8g.png\")
<\/figure>\n\n\n\nMan sieht, dass bei gleichbleibendem Budget die Gesamtsicherheit h\u00f6her ist, wenn auch nur ein geringer Teil in weitere Ma\u00dfnahmen investiert wird.<\/p>\n\n\n\n
Dieses Beispiel ist zwar fern von der Realit\u00e4t, veranschaulicht aber die Wirksamkeit von mehrschichtiger Sicherheit, auch bei geringer Investition in eine einzelne Ma\u00dfnahme. So k\u00f6nnen ein paar Kr\u00e4henf\u00fc\u00dfe auf dem Weg f\u00fcr einen Angreifer hinderlicher sein, als eine weitere Reihe Ziegelsteine auf einer 10 Meter hohen Mauer.<\/p>\n\n\n\n
Richtige Investitionen in Cyber-Sicherheit: Von der Wertverteidigung zur Wertgenerierung<\/h2>\n\n\n\n
Cyber-Initiativen zur Wertsch\u00f6pfung nutzen<\/strong> [6]: Cyber-Investitionen sollten nicht nur zur Wertverteidigung, sondern auch zur Wertgenerierung eingesetzt werden. Organisationen sollten einen ausgeglichenen Ansatz verfolgen, bei dem etwa 30-40% der Cyber-Investitionen in den Schutz, 30% in die Erkennung und 30% in die Reaktion und Wiederherstellung flie\u00dfen. Damit ist gemeint, dass in ein starkes Fundament investiert werden sollte, was nicht nur die Sicherheit erh\u00f6ht, sondern auch zukunftsorientiert dem Unternehmen Wert generieren kann.<\/p>\n\n\n\n
Technologiel\u00f6sungen sollten nicht die Investitionsstrategien bestimmen<\/strong> [6]: Unternehmen sollten eine ganzheitliche Strategie haben, bevor sie einzelne Produkte oder L\u00f6sungen kaufen. Technologie sollte die gr\u00f6\u00dften Risiken abdecken und gleichzeitig die F\u00e4higkeit und Agilit\u00e4t zur Bek\u00e4mpfung zuk\u00fcnftiger, m\u00f6glicherweise unbekannter Bedrohungen aufbauen.<\/p>\n\n\n\n
Bevor jedoch in Ma\u00dfnahmen investiert wird, sollte der erste Schritt sein, sowohl das eigene System, als auch die bereitgestellten Schutzma\u00dfnahmen von Anbietern zu kennen. F\u00fcr das eigene System kann man erkennende und adaptive Sicherheitsstrategien nutzen, um Schwachstellen zu identifizieren. Es wird auch empfohlen, sich umfassend mit dem Angebot an Sicherheitssoftware zu besch\u00e4ftigen, um eine L\u00f6sung zu finden, die am besten zur gesamten Strategie passt und gut in die bestehende Architektur integriert werden kann, bevor man Ressourcen in die Implementierung eigener Sicherheitssoftware steckt. Renommierte Sicherheitsl\u00f6sungen auf dem Markt sind in der Regel umfangreicher getestet, als es bei einer eigenen Implementation in einem sinnvollen Rahmen m\u00f6glich w\u00e4re. In modernen Anwendungen wird ein Gro\u00dfteil der Infrastruktur bereits auf Cloud-Anbieter ausgelagert, man sollte sich damit befassen, welche Dienste f\u00fcr die Sicherheit dort angeboten werden.<\/p>\n\n\n\n
Zu Sicherheitsma\u00dfnahmen der Infrastruktur z\u00e4hlen Reverse-Proxys, die das Netzwerk hinter einem Zugangspunkt verstecken. Server in dem internen Netzwerk k\u00f6nnen eingehende Anfragen, die nicht von dem Proxy-Server stammen, getrost ablehnen. Load Balancers k\u00f6nnen Traffic-Spikes auf mehrere Server verteilen und zur Not auch ablehnen, das sch\u00fctzt die Application-Server vor DoS Attacken. Ebenso sollten Firewalls wo m\u00f6glich und sinnvoll eingesetzt werden. [7]<\/p>\n\n\n\n
Die Anwendungsebene ist sehr individuell von der Anwendung abh\u00e4ngig, deswegen lassen sich hier keine universellen Aussagen treffen. Eine sinnvolle Investition kann die Schulung von Entwicklern in Software Sicherheit sein, sodass Anwendungen mit Sicherheit im Hinterkopf entwickelt werden und Sicherheit nicht als getrennte Instanz betrachtet wird. Ein paar Beispiele f\u00fcr Angriffe sind SQL Injection, Command Execution und Cross Site Scripting.<\/p>\n\n\n\n
Fazit<\/h2>\n\n\n\n
Zusammenfassend l\u00e4sst sich sagen, dass Cyber-Sicherheit in der heutigen digitalen Landschaft unerl\u00e4sslich ist und eine ganzheitliche Betrachtung erfordert. Unternehmen und Organisationen sollten ihre Sicherheitsstrategien nicht nur auf den Kauf von Technologiel\u00f6sungen beschr\u00e4nken, sondern in einen ausgeglichenen Ansatz investieren, der pr\u00e4ventive, erkennende, reaktive und adaptive Sicherheitsma\u00dfnahmen umfasst. Die Implementierung einer ‘Defense in Depth’-Strategie kann dabei eine effektive Methode sein, um den Sicherheitsschutz auf verschiedenen Ebenen zu gew\u00e4hrleisten und potenzielle Cyber-Bedrohungen abzuwehren. Zudem sollten Unternehmen und Organisationen Cyber-Investitionen nicht nur als Mittel zur Wertverteidigung sehen, sondern diese auch zur Wertgenerierung nutzen, um sich an die st\u00e4ndig \u00e4ndernden Bedrohungen und M\u00f6glichkeiten im Cyberspace anzupassen. Schlie\u00dflich ist es von entscheidender Bedeutung, dass Cyber-Sicherheit als integraler Bestandteil der Unternehmenskultur betrachtet wird, wobei der Mensch im Mittelpunkt steht, denn die Bildung und Sensibilisierung der Mitarbeiter kann eine entscheidende Rolle dabei spielen, menschliche Fehler zu minimieren, die zu Sicherheitsverletzungen f\u00fchren k\u00f6nnen.<\/p>\n\n\n\n
Quellenverzeichnis<\/h2>\n\n\n\n
- Data Security<\/strong>: Daten sind oft das prim\u00e4re Ziel von Cyberangriffen. Diese Ebene beinhaltet Ma\u00dfnahmen zum Schutz und zur sicheren Handhabung von Daten, wie Verschl\u00fcsselung, Zugriffskontrollen und Sicherheitskopien.<\/li>\n\n\n\n