Wir bauen eine Burg: Definition und Erklärung des „Defense in Depth“-Cybersicherheitsmodells

Angesichts der wachsenden Angriffsfläche von Unternehmen haben CIOs weltweit die schwierige Aufgabe, neue Tools und Taktiken zur Abwehr von Cyberbedrohungen zu finden. Laut VentureBeats Tim Kearybeinhaltet diese Angriffsfläche „nicht nur Ressourcen innerhalb eines eingegrenzten Netzwerks, sondern in allen Apps und Services, die die Cloud und die Netzwerkgrenze durch- und überqueren.“ Diese Ressourcen reichen von Laptops, Mobil- und IoT-Geräten sowie USB-Schnittstellen auf der physischen Seite bis hin zu Code, Webseiten, Cloudplattformen und Servern auf der digitalen Seite.

Bestätigte das US-Verteidigungsministerium, dass ein Cloudserver gesichert werden konnte, nachdem er zwei Wochen lang ohne Passwortschutz online gewesen war. Ein Sicherheitsforscher, der die Datenschutzverletzung aufdeckte, gab an, dass der ungeschützte Server drei Terabytes interner militärischer E-Mails enthielt, einschließlich hochsensibler personenbezogener Daten und Gesundheitsinformationen sowie den Schriftverkehr von Personen, die in Beziehung mit dem US Special Operations Command stehen. Es bedurfte lediglich eines falsch konfigurierten Servers, um diese Informationsfülle für jeden im Internet zugänglich zu machen.

Da verwundert es kaum, dass eine neue Bewegung gerade Auftrieb erhält, die verspricht, Sicherheitsschwachstellen über die Belegschaft, Technologie und Geschäftstätigkeit von Unternehmen hinweg zu eliminieren. In diesem Artikel tauchen wir tiefer darin ein, was es mit dem „Defense in Depth“-Cybersicherheitsansatz auf sich hat und wie dieser helfen kann, die Sicherheitslücken von Unternehmen umfassend zu stopfen.

Defense in Depth: Bedeutung und Schlüsselkonzepte

Das US-amerikanische Nationale Institut für Standards und Technologie (NIST)definiert Defense in Depth (DiD) in Bezug auf Cybersicherheit als eine „Informationssicherheitsstrategie, die Menschen, Technologie und operative Fähigkeiten umfasst, um unterschiedliche Barrieren über mehrere Schichten und Dimensionen eines Unternehmens hinweg einzurichten“. Dies erfolgt über „die Schichtung heterogener Sicherheitstechnologien in den gängigen Angriffsvektoren, um sicherzustellen, dass Angriffe, bei denen eine Technologie nicht greift, von einer anderen abgewehrt werden“.

Das Das „Defense in Depth“-Prinzip ist ein Cybersicherheitsabwehrmechanismus und basiert auf der Idee, dass keine einzelne Software oder Strategie ausreichend ist, um ein Unternehmen und dessen Datenbestände vor jeder Art von Cyberattacke zu schützen. Diese Annahme erfolgt aus gutem Grund: Laut dem aktuellen Bericht des FBI zur Internetkriminalität brach das Jahr 2021 Rekorde im Hinblick auf von der amerikanischen Öffentlichkeit eingereichte Beschwerden – 847.376 gemeldete Vorfälle, um genau zu sein, einschließlich Malware- und Phishing-Angriffen sowie Sicherheitsverletzungen personenbezogener Daten – und potenzielle Verluste von über 6,9 Milliarden US-Dollar.

Wir bauen eine Burg: So funktioniert das „Defense in Depthׅ- Modell

Das „Defense in Depth“-Konzept wird oftmals als „Burg-Ansatz“ bezeichnet, da der ihm zugrunde liegende Mechanismus am besten mithilfe der Analogie einer Burg beschrieben werden kann. Simon Woodside, Mitgründer und CEO von MedStack, führt dies auf brillante Weise auf Medium aus. Falls Ihnen dies zu lang ist, haben wir hier die Kurzfassung für Sie: Mittelalterliche Burgen waren dafür bekannt, dass sie quasi undurchdringbar waren, und wurden daher als Höhepunkt militärischer Ingenieurleistungen angesehen. Sie konnten Angriffen durch Armeen standhalten, die oftmals die Zahl der Verteidiger gänzlich in den Schatten stellten. Dies gelang aufgrund eines technischen Prinzips, das als – Sie haben es erraten – Defense in Depth bezeichnet wurde.

Burgarchitekten waren sich vollends darüber im Klaren, dass keine Sicherheitsmaßnahme für sich allein genommen unfehlbar war. Wenn sie jedoch eine Festung mit unzähligen Schichten einzelner Abwehrmechanismen umhüllten, konnten sie das Durchdringen der Burgmauern derartig erschweren, dass jeder Feind es sich zweimal überlegen würde, einen Angriff in die Wege zu leiten oder weiter vorzurücken. Woodside erklärt: „Jede Ebene vervielfacht die Effektivität der vorausgegangenen Ebene. Wenn die Außenmauern 90% und die inneren Mauern ebenfalls 90% von Angriffen abwehren, dann wehren sie in Kombination 99% von Angriffen ab.“

Und genauso funktioniert die „Defense in Depth“-Architektur im Hinblick auf Cybersicherheit. Sie basiert auf dem Prinzip der Schichtung von Abwehrmechanismen, um ein völliges Übermaß zu schaffen. Auf diese Weise tritt in dem Fall, dass eine Verteidigungsmaßnahme versagt, direkt eine andere an ihre Stelle und hält so die Angreifer draußen.

Technologie, Schulung und Richtlinien: 3 zentrale Elemente der „Defense in Depth“-Strategie

Laut Perry Carpenter, Autor von Transformational Security Awareness: What Neuroscientists, Storytellers, and Marketers Can Teach Us About Driving Secure Behaviors, ist „Defense in Depthׅ“-Sicherheit auf drei Säulen aufgebaut

1. Richtlinien und Verfahren

   Dies bezieht sich auf Anleitungen für Mitarbeiter und Zulieferer, was die Wichtigkeit von Unternehmenssicherheit und ihre Rollen und Verantwortlichkeiten bei der Sicherung von Datenbeständen und Netzwerken angeht. Beispiele hierfür sind akzeptierbare Nutzungsrichtlinien, Anti-Phishing-Richtlinien und Pläne für Geschäftskontinuität und Notfallwiederherstellung.

2. Technologie

   Dies umfasst die technischen Tools, die firmeneigene Systeme auf Sicherheitsschwachstellen hin scannen und unbefugtes Eindringen verhindern. Beispiele für DiD-Lösungen reichen von Antiviren- und Endpunkterkennung und Software zum Schutz von E-Mails bis hin zu Reputationsdiensten und Passwortmanagern.

3. Mitarbeiterschulung

   Sie können über perfekt durchdachte Protokolle und die hochmodernsten Tools verfügen, aber genauso wie eine mittelalterliche Burg wird Ihre Unternehmenssicherheitskultur stets nur so stark sein, wie ihr schwächstes Glied. Und in vielen Fällen sind dies die Mitarbeiter. Daher ist es unerlässlich, Ihrem Personal auf allen Unternehmensebenen regelmäßige Schulungen und Anleitungen zu Sicherheitspraktiken anzubieten.

Mehrschichtige Sicherheit vs. DiD: Was ist der Unterschied?

An dieser Stelle fragen Sie sich vielleicht: „Ist Defense in Depth nicht einfach ein anderer Ausdruck für eine mehrschichtige Sicherheitsarchitektur?“ Kurz gesagt: Das sollte es nicht sein. Mehrschichtige Sicherheit bezieht sich auf Sicherheitssysteme, die diverse Komponenten benötigen, um ihre Informationsnetzwerke und Datenbestände auf mehreren Ebenen zu schützen. Im Grunde genommen ist das „Wie“ eines mehrschichtigen und eines DiD-Ansatzes dasselbe: Es werden so viele Schutzebenen wie möglich als Antwort auf Sicherheitsmängel oder -lücken und zur Stärkung Ihres Sicherheitsstatus eingerichtet. Das „Warum“ hinter den beiden Methoden unterscheidet sich jedoch grundlegend.

Das Endziel mehrschichtiger Sicherheit, erklärt TechRepublic, ist, die Defizite jeder einzelnen Komponente zu lindern, indem mehrere Komponenten in einer einzigen, umfassenden Strategie gegen alle Arten von Hacker-, Phishing, DoS- und anderen Cyberattacken vereint werden. Im Gegensatz dazu geht Defense in Depth aus dem Verständnis hervor, dass totale Sicherheit niemals erreicht werden kann, ganz gleich, wie viele Sicherheitsebenen für Daten und Netzwerke Sie auch implementieren. Die Sicherheitskomponenten einer DiD-Architektur sollen nicht als undurchdringliches Mauerwerk fungieren, sondern als „Stolpersteine, die das Fortschreiten einer Attacke verhindern“.

Wichtige Ebenen von DiD-Sicherheitsstrategien für Daten und Netzwerke

Laut CSO Online lassen sich essenzielle „Defense in Depth“-Ebenen grob in folgende Kategorien einordnen:

1. Netzwerksicherheitstools. Ihre erste Verteidigungslinie sollte sich im Randbereich befinden. Richten Sie eine Firewall oder ein Einbruchmeldesystem (Intrusion Detection System, IDS) ein, um den Datenverkehr zu analysieren und zu kategorisieren sowie ungewollte Zugriffe zu sperren. Virtual Private Networks (VPN) bieten Nutzern Sicherheit und Anonymität, wenn sie sich über öffentliche Netzwerke in Firmenanwendungen einwählen.
2. Anti-Malware-Software. Falls Ihre Firewall oder eine andere Kontrollmaßnahme des Randbereichs Sie im Stich lässt, kann Antiviren-Software die Lage retten. Signaturbasierte Lösungen scannen Ihre Infrastruktur auf Malware, indem Dateien auf ihrer Signatur basierend mit einer Datenbank verglichen werden, während heuristische Schwachstellenscanner heuristische Analysen nutzen, um verdächtige Muster und Aktivitäten zu erkennen.
3. Tools zur Verhaltensanalyse. Wo wir schon einmal beim Thema verdächtige Aktivitäten sind: Irreguläres Datei- und Netzwerkverhalten kann ein Warnzeichen für eine gerade stattfindende oder erfolgreiche Cyberattacke sein. Sobald Sie einen Ausgangswert für reguläres Verhalten festgelegt haben, können Lösungen für die Verhaltensanalyse die Aktivitäten Ihrer Nutzer im Blick behalten und Muster, Trends oder Anomalien aufdecken, bevor es zu spät ist.
4. Datenintegritätskontrolle. Falls Sie feststellen, dass Ihre Dateien kopiert oder aus dem Unternehmen herausgeschleust werden, eine unbekannte IP-Adresse mit einer Datei verknüpft ist oder eine eingehende Datei denselben Namen wie eine sich bereits in Ihrem Netzwerk befindliche Datei mit anderen Inhalten hat, findet wahrscheinlich gerade ein Angriff auf Ihr Netzwerk statt – und die Angreifer machen Fortschritte. Fügen Sie Dateiintegritätskontrollen als Verteidigungsebene hinzu, um Hackerangriffe im Keim zu ersticken.

Hier finden Sie eine Liste von Tools, die Sie zur weiteren Festigung Ihrer Sicherheitsstrategie einsetzen können:

• Verschlüsselung

  Wie wir bereits in einem früheren Beitragthematisiert haben, sind At-Rest- und In-Transit-Verschlüsselung unerlässlich, um Datenschutzstrategien wasserdicht zu machen. Verschlüsselung gewährleistet, dass Informationen nur befugten Nutzern zugänglich sind. Dies gilt umso mehr, wenn sie eine Zero-Knowledge-Technologie verwendet – eine Methode, die es selbst für Ihren Serviceanbieter unmöglich macht, irgendwelche Kenntnisse über Ihre Verschlüsselungscodes oder die von Ihnen verarbeiteten oder auf seinen Servern gespeicherten Daten zu haben.

• Data loss prevention (DLP)

  DLP, auch als Data Leak oder Extrusion Prevention bekannt, ist eine Strategie, mit der Unternehmen ihre wichtigen Datenbestände vor Verlust, Diebstahl, Missbrauch oder unbefugtem Zugriff mithilfe der automatischen Durchsetzung von Richtlinien schützen können. . Laut einer Schätzung von Gartner schnellte das Interesse an DLP-Tools während der Pandemie in die Höhe: Im Jahr 2021 implementierten 90% von Unternehmen mindestens eine Art integrierter DLP, was im Vergleich zu 2017 einen Anstieg von 50% darstellte..

• Patchmanagement

  Beim Patchmanagement handelt es sich um „die systematische Benachrichtigung, Identifizierung, Bereitstellung, Installation und Verifizierung von Code-Revisionen von Betriebssystemen und Anwendungssoftware“. Es ermöglicht Unternehmen nicht nur, die Sicherung und Zuverlässigkeit ihrer Netzwerke und Computer aufrechtzuerhalten, sondern gleichzeitig auch, deren Performance zu verbessern, indem Software stets auf den neuesten Stand gebracht wird, damit sie fehlerfrei auf aktueller Hardware ausgeführt werden kann, erklärt TechTarget.

• Zwei-Faktor-Authentifizierung (2FA)

  Zwei-Stufen-Verifizierung stellt eine zusätzliche Sicherheitsebene für Ihre Konten dar, indem unbefugter Zugriff auf Ihre Daten selbst im Fall eines kompromittierten Passworts verhindert wird. Wenn 2FA aktiviert ist, werden Sie jedes Mal, wenn Sie sich z. B. in Tresorit anmelden, zusätzlich zur Eingabe Ihres Passworts um die Eingabe eines zufällig generierten Bestätigungscodes gebeten, der Ihnen per SMS, E-Mail, Telefonanruf oder Verifizierungs-App zugestellt wird.

Das Beste aus „Defense in Depth“-Sicherheit herausholen: So kann Tresorit Ihnen helfen

Als Ende-zu-Ende-verschlüsselte Content Collaboration Platform ermöglicht Tresorit Ihnen Folgendes:

• Machen Sie die Cloud mit E2E-Verschlüsselung zu einem sichereren Ort

  Alle Dateien und relevante Metadaten auf den Geräten unserer Nutzer werden mit zufällig generierten Verschlüsselungscodes verschlüsselt. Der Zugriff auf Dateien ist nur mit dem einzigartigen Entschlüsselungscode eines Nutzers möglich, den niemand sonst kennt – nicht einmal Tresorit. Das bedeutet, dass, selbst falls unsere Server gehackt werden sollten, niemand die auf ihnen gespeicherten Daten lesen könnte.

• Sorgen Sie für sicheren und beschränkten Zugriff

  Kontrollieren und entscheiden Sie, welche Geräte auf welche Dateien Zugriff nehmen und von wo aus Nutzer sich in ihrem Firmenkonto anmelden dürfen, um geschäftskritische Dokumente zu schützen. Verwalten Sie Dateien und Ordner auf differenzierte Weise, um sicherzustellen, dass nur diejenigen Personen auf sie zugreifen können, die sie benötigen. Schränken Sie Downloads ein oder sperren Sie den Zugriff jederzeit.

• Behalten Sie die Kontrolle darüber, was mit Ihren Daten geschieht

  Implementieren Sie Datenschutzmaßnahmen, einschließlich der Kontrolle darüber, wer auf welche Daten Zugriff nehmen kann; des Protokollierens von Dateiaktivitäten und des Festlegens interner Sicherheitsrichtlinien für die Datenverwaltung. Es können keinerlei Dateiinhalte ohne Ihr Wissen modifiziert werden, dank kryptografischer Authentifizierung, die auf alle verschlüsselten Daten in Form von HMAC oder AEAD angewendet wird.

• Richten Sie unternehmensweite Sicherheitsrichtlinien ein und machen Sie sie geltend – alles an einem Ort

  Stellen Sie sicher, dass alle in Ihrem Team auf dem gleichen Stand sind, was die Verwendung wichtiger Datensicherheitstools und -prozesse betrifft. Wenden Sie Richtlinienprofile an, einschließlich 2-Stufen-Verifizierung, IP-Filter, Zeitbeschränkungen und Datentauschrichtlinien; erstellen Sie verschiedene Richtlinien für jedes Profil und modifizieren Sie diese jederzeit – alles über eine einzige Benutzeroberfläche.

• Verschlüsseln Sie Anhänge automatisch in Gmail und Outlook

  Unterstützen Sie Ihre Teams beim effizienten Arbeiten und Senden verschlüsselter E-Mails, indem Sie Tresorit mit Google Workspace oder Azure Active Directory und Office 365 integrieren. Die Add-ons bieten Nutzern eine schnelle und einfache Möglichkeit, unter Verwendung ihrer bereits vorhandenen E-Mail-Adressen riskante E-Mail-Anhänge durch verschlüsselte Links zum Teilen und passwortgeschützte Dateien zu ersetzen.