Skip to content

Die Führung will ein einziges „Next-Gen"-Produkt kaufen, um „die Sicherheit zu lösen". Wie reagierst du als Architekt?

Kurzantwort

Kein einzelnes Produkt stoppt jeden Angriff; reife Sicherheit staffelt unabhängige Kontrollen — Defense in Depth — damit der Ausfall einer nicht die Kompromittierung bedeutet. Ordne die geplante Ausgabe den tatsächlichen Lücken in Identität, Netzwerk, Endpunkt, Daten und Erkennung zu und behalte die bereits funktionierenden, ergänzenden Kontrollen. Alles auf ein Werkzeug zu setzen schafft einen Single Point of Failure, und bestehende Kontrollen herauszureißen, um sie zu ersetzen, verringert die Abdeckung. Gar nichts auszugeben ignoriert echte Lücken.

Der Satz „ein Produkt, das die Sicherheit löst" ist ein Warnsignal. Sicherheit ist kein Produkt, das man installiert; sie ist eine Eigenschaft, die man über Menschen, Prozesse und viele Kontrollen hinweg konstruiert. Die Aufgabe des Architekten ist es, die Begeisterung — und das Budget — auf messbare Risikoreduktion zu lenken.

Warum Defense in Depth gewinnt

Jede Kontrolle fällt irgendwann aus: Ein Hersteller hat einen Zero-Day, eine Regel ist fehlkonfiguriert, ein Nutzer wird gephisht, ein Patch verzögert sich. Defense in Depth setzt den Ausfall voraus und staffelt unabhängige, sich überlappende Kontrollen, sodass eine andere noch steht, wenn eine nachgibt. Identität (MFA, Conditional Access), Netzwerk (Segmentierung, Egress-Filterung), Endpunkt (EDR), Daten (Verschlüsselung, DLP) sowie Erkennung/Reaktion (Logging, SIEM, Incident Response) fangen jeweils unterschiedliche Ausfallmodi ab.

Die richtige Antwort ist nicht „Nein", sondern „setzen wir diese Ausgabe dort ein, wo sie eine echte Lücke schließt". Prüfe den Vorschlag gegen deine Kontrollkarte und dein Bedrohungsmodell: Stärkt er eine schwache Schicht oder dupliziert er eine bereits abgedeckte?

Warum die falschen Antworten falsch sind

„Es kaufen — ein einzelnes starkes Produkt ist einfacher" ist genau der Führungsinstinkt, den ein schwacher Architekt abnicken würde. Einfachheit reizt, doch ein einzelnes Werkzeug wird zum Single Point of Failure: Ist es umgangen oder kompromittiert, steht nichts dahinter. „Alle bestehenden Kontrollen ersetzen" ist schlimmer — es reißt funktionierende Abdeckung heraus, um einem einzigen Hersteller hinterherzulaufen, verkleinert die Verteidigungsfläche und schafft Herstellerabhängigkeit. „Gar nichts ausgeben" überkorrigiert: Vielleicht gibt es eine echte Lücke, die das Budget finanzieren sollte.

Worauf der Interviewer achtet

Er will sehen, dass du magisches Denken zurückweisen kannst, ohne blockierend zu wirken. Ein guter Architekt übersetzt ein vages „die Sicherheit lösen" in eine Portfolio-Entscheidung: die risikoreichsten Lücken identifizieren, Ausgaben über Risikoreduktion begründen, ergänzende Kontrollen bewahren und sowohl Single Points of Failure als auch unkontrollierte Tool-Wildwucherung vermeiden. Die Lektion ist Urteilsvermögen — Sicherheit ist gestaffelt und kontinuierlich, nie ein einmaliger Kauf.

Wahrscheinliche Anschlussfragen

  • Wie würdest du entscheiden, wo dieses Budget die größte Risikoreduktion bringt?
  • Nenne ein Beispiel, bei dem zwei sich überlappende Kontrollen dich gerettet haben, als eine ausfiel.
  • Wie verhinderst du, dass Defense in Depth zu redundanter, unbeherrschbarer Tool-Wildwucherung wird?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.