// Protokoll · Protokoll

Defense in Depth

Mehrere unabhängige Schutzschichten statt einer Mauer: Jede darf versagen — die nächste fängt den Angriff auf.

Defense in Depth: mehrere unabhängige Schutzschichten um die Steuerung — jede darf versagen, die nächste fängt aufdie eine MauerSPSSteuerung
Tempo:

Schritt 1 von 7

Eine einzige Schutzmauer: Wird sie durchbrochen, liegt die Steuerung (SPS) offen da.

// Teste dich

Frage 1 von 3

Von welcher Grundannahme geht Defense in Depth aus?

In 30 Sekunden

Defense in Depth (Verteidigung in der Tiefe) ist kein Produkt, sondern ein Bauprinzip für Sicherheit: Statt alles auf eine einzige Schutzmassnahme zu setzen, staffelt man mehrere unabhängige Schichten hintereinander — abschliessbare Schränke, Netz-Segmentierung, Zwei-Faktor-Anmeldung, gehärtete Systeme, Überwachung und ein geprobter Notfallplan mit Backups. Die Grundannahme ist bewusst pessimistisch: Jede einzelne Schicht kann und wird irgendwann versagen. Ein Angreifer muss dann aber nicht eine Hürde überwinden, sondern alle nacheinander. Genau deshalb ist dieses Prinzip die Grundlage praktisch aller Sicherheitsnormen für Industrieanlagen, etwa der IEC 62443.

Der Alltagsvergleich:

Eine mittelalterliche Burg verlässt sich nie auf eine einzige Mauer: Wer den Graben überwindet, steht vor der Ringmauer; wer die Mauer überwindet, vor dem Torhaus; dahinter warten Wachen und zuletzt der Bergfried mit Vorräten für die Belagerung. Keine dieser Hürden ist für sich allein unüberwindbar — aber zusammen machen sie den Angriff langsam, laut und teuer. Genau das ist der Zweck: Zeit gewinnen, den Angreifer bemerken und reagieren, bevor der Kern fällt.

Wo trifft man Defense in Depth an?

Industrieanlagen (OT)

Der Kernanwendungsfall: Steuerungen (SPS) laufen jahrzehntelang und lassen sich kaum patchen — sie brauchen Schutzschichten um sich herum. Die Norm IEC 62443 giesst das in Zonen und kontrollierte Übergänge (Conduits). Beispiel: Zwischen Büro-IT und Leitsystem steht eine Firewall, die nur die wenigen wirklich nötigen Verbindungen erlaubt.

Kritische Infrastruktur (Wasser, Energie)

Wo ein Ausfall die Versorgung trifft, zählt jede zusätzliche Schicht — auch der Mensch. Beispiel: Im Wasserwerk von Oldsmar (USA, 2021) bemerkte ein Operator den fremdgesteuerten Mauszeiger und setzte den manipulierten Laugen-Wert sofort zurück — die menschliche Schicht griff, nachdem der Fernzugriff versagt hatte.

Ransomware-Vorsorge

Gegen Erpressungs-Software (Ransomware) entscheidet oft nicht die Prävention, sondern die letzte Schicht: Wiederherstellung. Beispiel Colonial Pipeline (USA, 2021): Ob der Betrieb weiterläuft, hing am Ende an der Frage, ob Backups vorhanden, sauber und schnell einspielbar waren.

Gebäudeautomation

KNX- oder BACnet-Installationen sind oft schutzlos, sobald jemand physisch an die Leitung kommt. Beispiel: Den Verteilerschrank abschliessen und das Automationsnetz vom Gäste-WLAN trennen — zwei einfache, unabhängige Schichten, die viele reale Angriffe bereits stoppen.

Fernwartung

Der heikelste Zugangsweg in eine Anlage verdient die meisten Schichten. Beispiel: VPN plus Zwei-Faktor-Anmeldung plus zeitlich begrenzter, personalisierter Zugang plus Aufzeichnung der Sitzung — vier Hürden statt eines dauerhaft offenen Zugangs mit Sammelpasswort.

Büro-IT im KMU

Auch ohne Anlage gilt das Prinzip. Beispiel: Die Phishing-Mail kommt am Filter vorbei, das Passwort wird auf der gefälschten Seite eingetippt — und trotzdem scheitert der Angreifer, weil die Zwei-Faktor-Anmeldung (2FA) den Login ohne zweiten Faktor verweigert.

Gut geeignet für

  • Für jede Anlage und jedes Budget, weil das Prinzip skaliert: Schon zwei, drei einfache Schichten (Schrank abschliessen, Netz trennen, Backup testen) sind ein Vielfaches einer einzelnen Massnahme wert.
  • Für OT-Umgebungen mit alten Geräten, weil sich nicht patchbare Steuerungen durch Schichten davor (Segmentierung, Zugangskontrolle) schützen lassen, ohne die Anlage selbst anzufassen.
  • Für den Schutz vor unbekannten Angriffen, weil gestaffelte Schichten auch dann greifen, wenn die erste Schutzmassnahme einen neuen Trick noch nicht kennt.
  • Für Organisationen mit Normen-Pflichten, weil IEC 62443, NIST SP 800-82 und das BSI-ICS-Kompendium alle auf diesem Prinzip aufbauen — wer in Schichten denkt, erfüllt deren Grundidee automatisch.
  • Für die Begrenzung von Schaden, weil Überwachung und Notfallplan als eigene Schichten dafür sorgen, dass ein erfolgreicher Einbruch früh auffällt und rückgängig gemacht werden kann.

Weniger geeignet für

  • «Viele Tools = viele Schichten» stimmt nicht: Drei Virenscanner sind immer noch eine einzige Schicht. Schichten zählen nur, wenn sie unterschiedliche Angriffsschritte abfangen — Zugang, Ausbreitung, Erkennung, Wiederherstellung.
  • Schichten ohne Unabhängigkeit täuschen Sicherheit vor: Hängen Firewall, Server und Backup am selben Admin-Konto oder derselben zentralen Anmeldung, fallen sie gemeinsam — ein kompromittiertes Konto räumt alles ab.
  • «Wir haben eine Firewall, wir sind sicher» ist Perimeter-Denken (harte Schale, weicher Kern): Genau dieses Modell scheitert, sobald die erste Hürde fällt — Defense in Depth ist die Antwort darauf, kein Zusatz dazu.
  • Nur passive Mauern bauen greift zu kurz: Ohne Überwachung und geprobten Notfallplan merkt niemand, dass Schichten längst gefallen sind. Erkennen und Reagieren sind eigene, gleichwertige Schichten.

Fakten

Voller Name
Defense in Depth — Verteidigung in der Tiefe
Art
Sicherheits-Bauprinzip, kein Produkt und kein Protokoll
Ursprung
Militärstrategie: gestaffelte Verteidigungslinien statt einer einzigen Front
Normen-Verankerung
IEC 62443 (Zonen und Conduits), NIST SP 800-82, BSI ICS-Kompendium
Typische Schichten
Physisch · Netz · Zugänge · System-Härtung · Überwachung · Reaktion/Backup
Kernannahme
Jede einzelne Schutzmassnahme kann versagen — geplant wird für den Ausfall
Gegenmodell
Perimeter-Sicherheit: eine harte Schale, dahinter ungeschützt
Verwandtes Konzept
Zero Trust — kein implizites Vertrauen, auch innerhalb des eigenen Netzes

Im Detail

Warum eine Mauer nicht reicht

Jede einzelne Schutzmassnahme hat blinde Flecken: Die Firewall kennt die eine erlaubte Verbindung nicht als Risiko, der Virenschutz kennt die neueste Schad-Software noch nicht, und das beste Passwort nützt nichts, wenn es auf einer gefälschten Seite eingetippt wird. Wer nur eine Mauer baut, wettet darauf, dass genau diese Mauer nie versagt — eine Wette, die auf Dauer immer verloren geht. Defense in Depth dreht die Logik um: Es wird von vornherein damit gerechnet, dass jede Schicht irgendwann fällt.

Die sechs Schichten im Anlagen-Alltag

Erstens physisch: Schaltschrank und Technikraum abschliessen, denn wer an die Leitung kommt, braucht kein Passwort. Zweitens Netz: Anlagen-Netz und Büro-Netz trennen, Übergänge nur über eine Firewall. Drittens Zugänge: individuelle Konten statt Sammelpasswörter, Zwei-Faktor-Anmeldung für alles, was von aussen erreichbar ist. Viertens Systeme härten: Updates einspielen, wo möglich, und nicht benötigte Dienste abschalten. Fünftens Überwachung: Logs sammeln und auf Ungewöhnliches achten — ein Login um drei Uhr morgens ist ein Signal. Sechstens Reaktion: ein geprobter Notfallplan und Backups, die nachweislich zurückgespielt werden können.

Unabhängigkeit ist der Schlüssel

Schichten schützen nur, wenn sie nicht gemeinsam fallen können. Wenn die Firewall, die Server und das Backup-System alle mit demselben Admin-Konto verwaltet werden, sind es in Wahrheit nicht mehrere Schichten, sondern eine — mit einem einzigen Schlüssel. Deshalb gehören Backups getrennt vom normalen Netz aufbewahrt (offline oder unveränderbar), Admin-Konten getrennt von Alltags-Konten, und die Überwachung sollte auch dann noch funktionieren, wenn ein Angreifer bereits im Netz ist.

Erkennen und Reagieren sind auch Schichten

Zwei reale Fälle zeigen, dass die hinteren Schichten genauso zählen wie die vorderen: In Oldsmar (2021) hatte ein Angreifer bereits Fernzugriff auf die Steuerung eines Wasserwerks — den Schaden verhinderte der Operator, der den fremdgesteuerten Mauszeiger sah und den Wert sofort zurücksetzte: Erkennung und Reaktion durch den Menschen. Bei Colonial Pipeline (2021) war die Ransomware bereits im System — wie schnell der Betrieb wieder anlief, entschied nicht der Virenschutz, sondern die Qualität der Backups. Prävention allein ist die halbe Verteidigung.

Wo anfangen?

Pragmatisch von aussen nach innen und beim grössten Risiko zuerst: Wissen, was überhaupt im Netz hängt (Inventar), dann Anlagen-Netz vom Büro-Netz trennen, Fernzugänge auf VPN mit Zwei-Faktor-Anmeldung umstellen, Sammelpasswörter abschaffen — und ein Backup nicht nur einrichten, sondern die Wiederherstellung einmal wirklich durchspielen. Keine dieser Massnahmen ist für sich spektakulär. Zusammen ergeben sie genau die Staffelung, die einen Vorfall von einer Katastrophe unterscheidet.