Resilienz braucht neue Ansätze: Mehrschichtige Verteidigung: Pflicht für KRITIS-Schutz
Die Bundesregierung hat mit dem KRITIS-Dachgesetz ein starkes Signal für den Schutz kritischer Infrastrukturen gesetzt. Eine mehrschichtige Verteidigungsstrategie ist essenziell, um Zero-Days, Botnets und DDoS-Angriffe abzuwehren. Studien zeigen jedoch: Defizite gefährden den Fortschritt.
Angriffe auf Unternehmen und Institutionen haben bereits zu erheblichen Störungen geführt und das öffentliche Wohlergehen bedroht. Deutschland kann sich keine größeren Ausfälle wichtiger Dienste durch Sicherheitslücken leisten. Ein mehrstufiger Verteidigungsansatz ist daher unverzichtbar, um die Resilienz zu stärken.
Studie zeigt große Defizite
Eine Untersuchung von OPSWAT offenbart jedoch, dass viele Unternehmen Schwierigkeiten haben, eine solche Strategie umzusetzen. Angesichts moderner Bedrohungen wie Botnets, Zero-Days und DDoS-Angriffen fehlt es an Vertrauen in bestehende Sicherheitsmaßnahmen.
Angreifer nutzen zunehmend komplexe Methoden, die über den klassischen Netzwerkperimeter hinausgehen. Laut BSI richten sich gezielte Angriffe staatlich unterstützter Akteure vor allem gegen kritische Infrastruktur. Viele Unternehmen setzen jedoch nur unzureichend auf den empfohlenen Defense-in-Depth-Ansatz, der Schwachstellen in allen Phasen der Verteidigung abdeckt.
Hindernisse auf dem Weg zu robustem Schutz
OPSWAT zeigt, dass nur 17 Prozent der Unternehmen eine umfassende Strategie umgesetzt haben. Hauptgründe sind:
- Mangelnde Koordination: Der Aufbau einer mehrschichtigen Verteidigung erfordert abteilungsübergreifende Zusammenarbeit und klare Prioritäten, was oft fehlt.
- Budgetprobleme: Schrumpfende Budgets zwingen Unternehmen, kurzfristige Lösungen langfristigen Strategien vorzuziehen.
- Fachkräftemangel: Überlastete Sicherheitsteams und fehlende Expertise erschweren die Umsetzung.
- Komplexe IT-Landschaften: Cloud-Lösungen und Open-Source-Tools erhöhen die Angriffspunkte und verunsichern Unternehmen beim Einstieg.
Wie Unternehmen handeln können
Ein mehrstufiger Ansatz muss gezielt Sicherheitslücken schließen, etwa durch die Integration von Dateiscans in die Netzwerkverteidigung. Entscheidend sind klare Prioritäten, ausreichende finanzielle Mittel und eine stärkere Einbindung der Unternehmensleitung, um robuste Schutzmechanismen aufzubauen.
Die wichtigsten Ebenen einer Defense-in-Depth-Strategie
Eine effektive Verteidigungsstrategie basiert auf mehreren Sicherheitsebenen, die technische Kontrollen und integrierte Prozesse über die gesamte Infrastruktur hinweg kombinieren. Dadurch wird das Risiko minimiert, dass Angreifer einzelne Schwachstellen ausnutzen, und die Resilienz des Unternehmens gestärkt.
- Netzwerksicherheit: Firewalls, Gateways und Segmentierung verhindern unbefugten Zugriff und begrenzen die Ausbreitung von Bedrohungen.
- Datensicherheit: Dateiscanner erkennen und blockieren versteckte Malware in Dateien, bevor sie sensible Systeme erreichen.
- Endpunktschutz: Geräte wie Laptops und Desktops werden durch Malware-Erkennungs-Engines, Sandboxing und Bedrohungsdaten geschützt.
- E-Mail-Sicherheit: Lösungen zur Erkennung von Phishing und schädlichen Anhängen oder URLs minimieren Ransomware-Risiken.
- Zero-Day-Verteidigung: Maschinelles Lernen und Verhaltensanalysen erkennen neue Schwachstellen, die herkömmliche Tools übersehen könnten.
Diese Ebenen greifen ineinander und schaffen einen mehrschichtigen Schutz, der Angriffe in jeder Phase abwehrt.
Erste Schritte für eine Defense-in-Depth-Strategie
Die Umsetzung einer umfassenden Strategie mag komplex erscheinen, doch ein schrittweiser Ansatz hilft, sie zu bewältigen:
- Orientierung an Standards: Sicherheitsframeworks wie NIST, CIS, ISO 27001 oder MITRE ATT&CK bieten klare Leitlinien. Behördenempfehlungen, wie die der CISA, können ebenfalls als Orientierung dienen.
- Grundlegende Maßnahmen umsetzen: Patch-Management und Multi-Faktor-Authentifizierung (MFA) sind einfache, aber effektive Schritte. Insbesondere in der Betriebstechnik (OT) wird MFA häufig vernachlässigt, kann aber Angriffe erheblich erschweren.
- Schwachstellenanalyse: Eine regelmäßige Analyse zeigt, wo Verbesserungen nötig sind – von der Netzwerksicherheit bis zum Endpunktschutz.
- Bestehende Tools optimieren: Vor der Anschaffung neuer Technologien sollten ungenutzte Funktionen der vorhandenen Sicherheitslösungen aktiviert werden, wie Sandboxing oder die sichere Rekonstruktion von Dateien.
Fazit: Mehr Resilienz durch gezielte Maßnahmen
Durch diese Schritte legen KRITIS-Betreiber die Grundlage für widerstandsfähigere Cybersicherheitsmaßnahmen. In Anbetracht der zunehmenden Bedrohung kritischer Infrastrukturen ist ein mehrschichtiger Verteidigungsansatz unverzichtbar, um Unternehmen vor immer raffinierteren Angriffen zu schützen.
Holger Fischer, Director EMEA Central bei OPSWAT