Erklären Sie die Kategorien von Sicherheitskontrollen und nennen Sie Beispiele für jede.
Kurzantwort
Kontrollen werden auf zwei Arten klassifiziert. Nach Typ: administrativ (Richtlinien, Schulungen, Verfahren), technisch/logisch (Firewalls, MFA, Verschlüsselung) und physisch (Schlösser, Ausweise, Kameras). Nach Funktion: präventiv (ein Ereignis verhindern — MFA, Zugriffskontrolle), detektiv (ein Ereignis aufdecken — SIEM, IDS, Audit-Logs), korrektiv (danach beheben — Wiederherstellung aus Backup, Patch), abschreckend (entmutigen — Warnhinweise) und kompensierend (eine Alternative, wenn die Hauptkontrolle nicht machbar ist). Die Defense in Depth schichtet diese, sodass kein einzelner Kontrollausfall zu einer Kompromittierung führt.
Die Klassifizierung von Kontrollen gehört zum grundlegenden GRC-Vokabular. Interviewer fragen danach, um zu bestätigen, dass Sie eine reale Schutzmaßnahme ihrem Zweck zuordnen können — genau das, was Sie tun, wenn Sie ein Kontroll-Framework entwerfen oder eine in einem Audit gefundene Lücke schließen.
Klassifizierung nach Typ
Dies beschreibt, welche Art von Sache die Kontrolle ist:
- Administrativ (steuernd) — Richtlinien, Standards, Verfahren, Risikobewertungen, Sicherheitssensibilisierungsschulungen, Hintergrundprüfungen.
- Technisch (logisch) — Firewalls, MFA, Verschlüsselung, Zugriffskontrolllisten, IDS/IPS, Endpunktschutz.
- Physisch — Schlösser, Zäune, Ausweisleser, Sicherheitsschleusen, Videoüberwachung, Wachpersonal.
Klassifizierung nach Funktion
Dies beschreibt, was die Kontrolle tut im zeitlichen Ablauf eines Ereignisses:
- Präventiv — stoppt einen Vorfall, bevor er eintritt (Zugriffskontrolle, MFA, Eingabevalidierung).
- Detektiv — erkennt einen laufenden oder bereits erfolgten Vorfall (SIEM, IDS, Audit-Logs, Dateiintegritätsüberwachung).
- Korrektiv — stellt Systeme nach einem Vorfall wieder her (Wiederherstellung aus Backup, Anwenden eines Patches, Neuaufsetzen).
- Abschreckend — hält einen Akteur von einem Versuch ab (Warnhinweise, sichtbare Kameras, Sanktionsrichtlinie).
- Kompensierend — eine alternative Schutzmaßnahme, die eingesetzt wird, wenn die Hauptkontrolle nicht machbar ist, und vergleichbaren Schutz bietet (z. B. verstärkte Überwachung, wo ein Altsystem nicht gepatcht werden kann).
Sie schichten
Eine einzelne Kontrolle wird irgendwann versagen. Defense in Depth schichtet präventive, detektive und korrektive Kontrollen über die Typen administrativ, technisch und physisch, sodass ein einzelner Ausfall nicht zu einer Kompromittierung führt.
Warum das wichtig ist
Das klarste Signal ist ein Kandidat, der eine gegebene Schutzmaßnahme in beide Klassifizierungen einordnen und kompensierende Kontrollen korrekt erklären kann — diese tauchen ständig in Audit-Feststellungen und Risikobehandlungsentscheidungen auf.
Wahrscheinliche Anschlussfragen
- Wann würden Sie eine kompensierende Kontrolle statt der Hauptkontrolle einsetzen?
- Nennen Sie ein Beispiel für eine Technologie, die sowohl detektiv als auch korrektiv wirkt.
- Wie unterstützen diese Kategorien eine Defense-in-Depth-Strategie?