Home » News » KRITIS » Mehrschichtige Verteidigung: Pflicht für KRITIS-Schutz

Resilienz braucht neue Ansätze: Mehrschichtige Verteidigung: Pflicht für KRITIS-Schutz

Die Bundesregierung hat mit dem KRITIS-Dachgesetz ein starkes Signal für den Schutz kritischer Infrastrukturen gesetzt. Eine mehrschichtige Verteidigungsstrategie ist essenziell, um Zero-Days, Botnets und DDoS-Angriffe abzuwehren. Studien zeigen jedoch: Defizite gefährden den Fortschritt.

2 Min. Lesezeit
Rechenzentrum mit Schild Schutz der Kritischen Infrastruktur
Foto: ©AdobeStock/MD NAZMUL

Angriffe auf Unternehmen und Institutionen haben bereits zu erheblichen Störungen geführt und das öffentliche Wohlergehen bedroht. Deutschland kann sich keine größeren Ausfälle wichtiger Dienste durch Sicherheitslücken leisten. Ein mehrstufiger Verteidigungsansatz ist daher unverzichtbar, um die Resilienz zu stärken.

Studie zeigt große Defizite

Eine Untersuchung von OPSWAT offenbart jedoch, dass viele Unternehmen Schwierigkeiten haben, eine solche Strategie umzusetzen. Angesichts moderner Bedrohungen wie Botnets, Zero-Days und DDoS-Angriffen fehlt es an Vertrauen in bestehende Sicherheitsmaßnahmen.

Angreifer nutzen zunehmend komplexe Methoden, die über den klassischen Netzwerkperimeter hinausgehen. Laut BSI richten sich gezielte Angriffe staatlich unterstützter Akteure vor allem gegen kritische Infrastruktur. Viele Unternehmen setzen jedoch nur unzureichend auf den empfohlenen Defense-in-Depth-Ansatz, der Schwachstellen in allen Phasen der Verteidigung abdeckt.

Hindernisse auf dem Weg zu robustem Schutz

OPSWAT zeigt, dass nur 17 Prozent der Unternehmen eine umfassende Strategie umgesetzt haben. Hauptgründe sind:

  • Mangelnde Koordination: Der Aufbau einer mehrschichtigen Verteidigung erfordert abteilungsübergreifende Zusammenarbeit und klare Prioritäten, was oft fehlt.
  • Budgetprobleme: Schrumpfende Budgets zwingen Unternehmen, kurzfristige Lösungen langfristigen Strategien vorzuziehen.
  • Fachkräftemangel: Überlastete Sicherheitsteams und fehlende Expertise erschweren die Umsetzung.
  • Komplexe IT-Landschaften: Cloud-Lösungen und Open-Source-Tools erhöhen die Angriffspunkte und verunsichern Unternehmen beim Einstieg.

Wie Unternehmen handeln können

Ein mehrstufiger Ansatz muss gezielt Sicherheitslücken schließen, etwa durch die Integration von Dateiscans in die Netzwerkverteidigung. Entscheidend sind klare Prioritäten, ausreichende finanzielle Mittel und eine stärkere Einbindung der Unternehmensleitung, um robuste Schutzmechanismen aufzubauen.

Die wichtigsten Ebenen einer Defense-in-Depth-Strategie

Eine effektive Verteidigungsstrategie basiert auf mehreren Sicherheitsebenen, die technische Kontrollen und integrierte Prozesse über die gesamte Infrastruktur hinweg kombinieren. Dadurch wird das Risiko minimiert, dass Angreifer einzelne Schwachstellen ausnutzen, und die Resilienz des Unternehmens gestärkt.

  1. Netzwerksicherheit: Firewalls, Gateways und Segmentierung verhindern unbefugten Zugriff und begrenzen die Ausbreitung von Bedrohungen.
  2. Datensicherheit: Dateiscanner erkennen und blockieren versteckte Malware in Dateien, bevor sie sensible Systeme erreichen.
  3. Endpunktschutz: Geräte wie Laptops und Desktops werden durch Malware-Erkennungs-Engines, Sandboxing und Bedrohungsdaten geschützt.
  4. E-Mail-Sicherheit: Lösungen zur Erkennung von Phishing und schädlichen Anhängen oder URLs minimieren Ransomware-Risiken.
  5. Zero-Day-Verteidigung: Maschinelles Lernen und Verhaltensanalysen erkennen neue Schwachstellen, die herkömmliche Tools übersehen könnten.

Diese Ebenen greifen ineinander und schaffen einen mehrschichtigen Schutz, der Angriffe in jeder Phase abwehrt.

Erste Schritte für eine Defense-in-Depth-Strategie

Die Umsetzung einer umfassenden Strategie mag komplex erscheinen, doch ein schrittweiser Ansatz hilft, sie zu bewältigen:

  1. Orientierung an Standards: Sicherheitsframeworks wie NIST, CIS, ISO 27001 oder MITRE ATT&CK bieten klare Leitlinien. Behördenempfehlungen, wie die der CISA, können ebenfalls als Orientierung dienen.
  2. Grundlegende Maßnahmen umsetzen: Patch-Management und Multi-Faktor-Authentifizierung (MFA) sind einfache, aber effektive Schritte. Insbesondere in der Betriebstechnik (OT) wird MFA häufig vernachlässigt, kann aber Angriffe erheblich erschweren.
  3. Schwachstellenanalyse: Eine regelmäßige Analyse zeigt, wo Verbesserungen nötig sind – von der Netzwerksicherheit bis zum Endpunktschutz.
  4. Bestehende Tools optimieren: Vor der Anschaffung neuer Technologien sollten ungenutzte Funktionen der vorhandenen Sicherheitslösungen aktiviert werden, wie Sandboxing oder die sichere Rekonstruktion von Dateien.

Fazit: Mehr Resilienz durch gezielte Maßnahmen

Durch diese Schritte legen KRITIS-Betreiber die Grundlage für widerstandsfähigere Cybersicherheitsmaßnahmen. In Anbetracht der zunehmenden Bedrohung kritischer Infrastrukturen ist ein mehrschichtiger Verteidigungsansatz unverzichtbar, um Unternehmen vor immer raffinierteren Angriffen zu schützen.

Porträt Holger Fischer
Foto: OPSWAT

Holger Fischer, Director EMEA Central bei OPSWAT

Andere interessante News

Meeting und Laptop mit AI-Symbol

Greenwashing war gestern: Jetzt kommt das AI-Washing

AI-Washing hat sich als neue PR-Strategie etabliert: Unternehmen nutzen das Buzzword „KI“, um innovativer zu wirken – oft ohne substanzielle Technologien dahinter. Diese Praxis sch...

Trends 2025

Welche Trends 2025 in Sachen KI, Investitionsverhalten und Containment durchschlagen

2025 – ein Jahr des tiefgreifenden Wandels der Cybersicherheit: Künstliche Intelligenz wird neu definiert, Unternehmen kämpfen mit der Balance zwischen Innovation und Sicherheit, u...

Digitaler Chatbot

2. Jahrestag von ChatGPT: Als eine neue KI-Generation die Welt erblickte

Generative KI hat die Welt verändert: Mit der Einführung von ChatGPT vor zwei Jahren wurde Künstliche Intelligenz erstmals alltagstauglich. Sie kommuniziert, versteht und erstellt ...