Skip to content

Erkläre Defense in Depth und nenne ein konkretes Beispiel für die Anwendung.

Kurzantwort

Defense in Depth bedeutet, mehrere unabhängige Sicherheitskontrollen zu staffeln, sodass bei Versagen einer Kontrolle die anderen das Asset weiterhin schützen. Keine Kontrolle gilt als perfekt, daher stapelt man präventive, detektierende und reagierende Maßnahmen über die Schichten Netzwerk, Host, Anwendung und Daten.

Defense in Depth beruht auf der Erkenntnis, dass jede Kontrolle irgendwann versagt oder umgangen wird, daher sollte Sicherheit niemals auf einem einzigen Punkt ruhen. Stattdessen staffelt man unabhängige Kontrollen, sodass ein Angreifer mehrere nacheinander überwinden muss, um an das Wesentliche zu gelangen.

Warum eine Schicht nie ausreicht

Eine Firewall kann fehlkonfiguriert sein. Ein Patch kann übersehen werden. Ein Benutzer kann Opfer von Phishing werden. Hängt deine gesamte Sicherheitslage von einer einzigen Kontrolle ab, wird diese zum Single Point of Failure – und Angreifer sind sehr gut darin, genau das zu finden, was du für solide hieltest. Schichtung verschafft dir Resilienz und Zeit: Selbst ein teilweiser Einbruch wird eingedämmt oder erkannt, bevor er vollständig wird.

Ein konkretes Beispiel

Stell dir vor, eine Kundendatenbank zu schützen:

  • Perimeter: Eine Firewall und ein WAF filtern eingehenden Verkehr.
  • Netzwerk: Segmentierung isoliert das Datenbank-Subnetz, sodass ein kompromittierter Webserver es nicht ungehindert erreichen kann.
  • Host: Der Datenbankserver ist gehärtet, gepatcht und betreibt Endpoint Detection.
  • Anwendung: Eingabevalidierung und parametrisierte Abfragen blockieren SQL-Injection.
  • Identität: Konten mit minimalen Rechten und MFA begrenzen, wer auf die Daten zugreifen kann.
  • Daten: Die Datensätze sind im Ruhezustand verschlüsselt, sodass ein gestohlenes Disk-Image nutzlos ist.
  • Detektion und Reaktion: Logging, Alerting und Backups erfassen, was durchrutscht, und ermöglichen die Wiederherstellung.

Ein Angreifer, der die Firewall überwindet, steht noch vor der Segmentierung, dann der Host-Härtung, dann den Zugriffskontrollen, dann der Verschlüsselung.

Der feine Punkt

Die Schichten müssen unabhängig sein. Zwei Kontrollen mit derselben Schwäche (etwa beide vertrauen demselben SSO-Token) fallen gemeinsam und fügen keine echte Tiefe hinzu.

Worauf Interviewer achten

Eine gute Antwort formuliert das Prinzip – davon ausgehen, dass jede Kontrolle versagen kann – und belegt es dann mit konkreten Schichten über Netzwerk, Host, Anwendung, Identität und Daten, idealerweise mit dem Hinweis, dass die Schichten unabhängig versagen sollten.

Wahrscheinliche Anschlussfragen

  • Wie unterscheidet sich Defense in Depth von Zero Trust?
  • Nenne ein Beispiel für eine detektierende gegenüber einer präventiven Kontrolle.
  • Worin liegt das Risiko redundanter Kontrollen, die nicht wirklich unabhängig sind?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.