Mehrschichtige IT-Security – Unsere Empfehlungen

Als IT-Dienstleister betreuen wir Kunden und Organisationen aus unterschiedlichsten Branchen und haben uns über all die Jahre einen grossen Erfahrungsschatz auch im Bereich der IT-Security angeeignet. Gerne geben wir Ihnen in folgendem Beitrag technische Empfehlungen an die Hand, wie Sie die IT-Security in Ihrem Unternehmen effektiv erhöhen.

In einer zunehmend digitalisierten Welt, in der Cyberangriffe an der Tagesordnung sind, stehen Unternehmen vor der Herausforderung, ihre Daten, Systeme und Geschäftsprozesse zuverlässig zu schützen. Dabei reicht es längst nicht mehr aus, sich nur auf eine einzelne Sicherheitsmassnahmen wie eine Firewall oder Antivirus-Software zu verlassen. Ein modernes und effektives Sicherheitskonzept erfordert eine ganzheitliche Herangehensweise – genau hier kommt das Prinzip der „Defense in Depth“, der mehrschichtigen Sicherheit, ins Spiel.

In diesem Beitrag möchten wir Ihnen aufzeigen, wie Sie durch Defense in Depth die Sicherheit in Ihrem Unternehmen oder Organisation nachhaltig erhöhen können – und das ohne technisches Fachchinesisch.

Unser Ziel: Sie sensibilisieren, inspirieren und befähigen, Ihr Unternehmen optimal vor digitalen Bedrohungen zu schützen.

Die nachfolgende Liste ist nicht abschliessend und natürlich beliebig erweiterbar, gibt Ihnen jedoch trotzdem einige wertvolle Tipps an die Hand, welche Ihnen helfen können.

Die Kunst der mehrschichtigen Sicherheit – Warum „Defense in Depth“ Ihr Unternehmen schützt

Was bedeutet „Defense in Depth“ eigentlich? Und warum ist es für Ihr Unternehmen so wichtig?

Stellen Sie sich Ihre IT-Sicherheit wie ein Schloss vor: Es reicht nicht, nur eine starke Eingangstür zu haben. Mehrere Schutzmassnahmen – wie zusätzliche Wände, Sicherheitszäune und Kameras – sorgen gemeinsam dafür, dass potenzielle Eindringlinge scheitern. Dieses Prinzip übertragen wir auf Ihre IT-Infrastruktur, um Angreifern auf jeder Ebene entgegenzuwirken. Nachfolgend gehen wir detaillierter auf die einzelnen Schichten ein.

Bildquelle: Wie unterscheiden sich Zero Trust und Defense in Depth? | Computer Weekly

1. Schicht: Richtlinien, Verfahren und Bewusstsein

Diese Schicht bildet das Fundament Ihrer Sicherheitsstrategie – weniger Technik, mehr klare Regeln und informierte Mitarbeitende. Nachfolgend finden Sie einige Anhaltspunkte und Gedankenanregungen diesbezüglich:

Richtlinien: Klare Vorgaben

Definieren Sie klare und verständliche Vorgaben wie bspw.:

• Passwörter: Sicher, lang und hohe Komplexität – abgesichert mit Multi-Faktor-Authentifizierung.
• Zugriffsrechte: Wer darf was? Wer hat wo Zugriff? Sind diese Zugriffe dokumentiert?
• Datenumgang: Was darf geteilt werden? Nur intern oder auch mit Externen?

Verfahren: Sicherheit im Alltag
Prozesse sorgen für klare Abläufe, wie etwa:

• Wie melde ich verdächtige E-Mails?
• Was tun bei Geräteverlust?
• Prüfung neuer Software vor Installation.
• Review: IT-Security ist kein Zustand, sondern ein Prozess, welcher etabliert und kontinuierlich überprüft werden muss.

Bewusstsein: Schulung der Mitarbeitenden
Gut geschulte Mitarbeitende erkennen Phishing, handeln sicher und reagieren bei Auffälligkeiten. Regelmässige Sensibilisierung stärkt die erste Verteidigungslinie: Ihre Menschen im Unternehmen.

Warum ist diese Schicht wichtig?
Technik allein reicht nicht – klare Regeln und informierte Mitarbeitende sind der Anfang für eine mehrschichtige Sicherheit.

2. Schicht: Physische Sicherheit

Diese Schicht konzentriert sich darauf, Ihre IT-Systeme und Daten vor physischen Gefahren zu schützen – denn nicht nur Hacker, sondern auch Einbrecher oder Unfälle können Schäden anrichten.

Zugangs­kontrolle: Wer darf rein?
Nicht jeder sollte Zugang zu sensiblen Bereichen haben. Nachfolgende Massnahmen sind essentiell:

• Nur autorisierte Personen kommen in Serverräume oder generell heikle Bereiche.
• Besuchermanagement: Klare Regeln, wer begleitet werden muss. Oder müssen sogar alle Besucher begleitet werden?

Schutz der Hardware: Sicher aufbewahren
Ihre Geräte sind ebenso wertvoll wie die Daten darauf. Beispielsweise:

• Serverräume: Abschliessbar, kühl und gut überwacht.
• Arbeitsgeräte: Laptops und Mobilgeräte nach Feierabend sicher verstauen.

Überwachung: Risiken minimieren
Kameras, Bewegungsmelder und Alarme helfen, unbefugte Zutritte zu verhindern und Ereignisse nachzuvollziehen. Solche Massnahmen sind in einem modernen Datacenter Standard und Pflicht.

Warum ist diese Schicht wichtig?
IT-Sicherheit beginnt mit der physischen Sicherheit. Wenn Hardware gestohlen oder beschädigt wird, ein Angreifer frei in den Serverraum spazieren kann oder sonst überall reinkommt, helfen auch die besten digitalen Massnahmen nichts. Ein durchdachter Schutz Ihrer physischen Umgebung ist daher unverzichtbar.

3. Schicht: Perimeter

Die Perimeter-Sicherheit schützt Ihr Netzwerk an den Schnittstellen zur Aussenwelt. Ziel ist es, Bedrohungen bereits abzuwehren, bevor sie in Ihr internes Netzwerk gelangen.

Firewalls: Das Tor zum Internet
Eine Firewall überwacht und kontrolliert den Datenverkehr zwischen Ihrem Netzwerk und dem Internet. Sie blockiert unbefugte Zugriffe und ermöglicht nur legitimen Datenverkehr.

Zonen definieren und schaffen
Definieren Sie beispielsweise, ob Ihre Mitarbeitenden von überall aus auf Ihr ERP-System zugreifen müssen oder ob Sie allenfalls nur ein Zugriff von der Schweiz aus zulassen. Wie sieht es zudem mit Verbindungen in die Cloud aus? Eine klare und restriktive Zonierung auf dem Perimeter kann viel bewirken.

Sichere Verbindungen
Virtual Private Networks (VPNs) verschlüsseln Verbindungen zwischen externen Geräten und Ihrem Netzwerk, z. B. für Mitarbeitende im Homeoffice. Wie sieht es zudem mit Remotezugängen von Lieferanten aus?

Warum ist diese Schicht wichtig?
Der Perimeter ist Ihre erste Verteidigungslinie vor dem internen Netzwerk. Hier wird entschieden, welche Daten ins Netzwerk dürfen und welche nicht. Zudem wird definiert, was und vorallem auch wohin ins Internet kommunizieren darf. Ein starker Schutz des Perimeters ist essenziell, um Angriffe frühzeitig abzuwehren und die Auswirkung gering zu halten.

4. Schicht: Internes Netzwerk

Diese Schicht schützt das, was hinter Ihrer Perimeter-Verteidigung liegt: Ihr internes Netzwerk. Hier geht es darum, den Schaden durch Eindringlinge, Fehler oder Anomalien zu begrenzen und kritische Systeme abzusichern.

Netzwerksegmentierung: Grenzen ziehen durch Netzwerkzonierung
Durch separate Netzwerk-Zonen verhindern Sie, dass ein Angreifer sich frei bewegen kann.

• Durch die Trennung Ihres Netzwerks in verschiedene Zonen (z. B. Büro, Produktion, Server, Backup, Gäste-WLAN etc.) wird verhindert, dass ein Angriff alle Bereiche betrifft.
• Active Directory Tiering hilft dabei, den Zugriff auf sensible Bereiche zu begrenzen und schützt die Kronjuwelen der IT-Infrastruktur. Es stellt sicher, dass nur berechtigte Personen mit bestimmten Konten Zugriff auf besonders geschützte Bereiche haben. So wird das Risiko verringert, dass ein Hacker, der Zugang zu einem weniger sicheren Bereich erhält, auch Zugriff auf das gesamte Active Directory bekommt.

Zugangskontrolle: Nur für Befugte
Wer auf was zugreifen darf, sollte streng geregelt sein. Authentifizierung und Autorisierung stellen sicher, dass nur autorisierte Personen und Geräte sensible Daten erreichen.

Überwachung und Protokollierung: Probleme erkennen
Überwachungs-Tools analysieren den Netzwerkverkehr und schlagen Alarm bei ungewöhnlichen Aktivitäten. Protokolle helfen, Vorfälle nachzuvollziehen und Schwachstellen zu identifizieren. Ein externes IT-Security Team kann hier ein Schlüsselfaktor sein.

Warum ist diese Schicht wichtig?
Einmal im internen Netzwerk, kann ein Angreifer erheblichen Schaden anrichten, vor allem auch, wenn man dies nicht einmal bemerkt. Mit einer starken internen Verteidigung reduzieren Sie Risiken und sichern Ihre wertvollsten Systeme und Daten.

5. Schicht: Host

Die Hosts, also die einzelnen Geräte wie Computer, Server oder mobile Endgeräte, sind entscheidende Elemente Ihrer IT-Sicherheit. Diese Schicht stellt sicher, dass jedes Gerät optimal geschützt ist, um Angreifern keinen Eintrittspunkt zu bieten.

Betriebssystem: Die Grundlage sichern
Ein aktuelles, sicheres und korrekt konfiguriertes Betriebssystem ist der erste Schritt. Dazu gehören bspw.:

• Regelmässige Updates: Sicherheitslücken schliessen, bevor Angreifer sie ausnutzen.
• Sichere Konfiguration: Deaktivieren/Löschung unnötiger Dienste sowie Applikationen und strenge Rechteverwaltung.

Antivirus und Endpoint-Schutz: Die digitale Schutzbarriere
Antivirus-Software erkennt und blockiert Schadprogramme. Moderne Endpoint-Schutzlösungen gehen noch weiter, indem sie verdächtige Aktivitäten überwachen und gezielt Angriffe abwehren.

• Auf jedem Endgerät (Server, Computer, Notebook) muss ein Malware-Schutz installiert sein.

Patch-Management: Keine Lücken lassen
Jede Software kann Schwachstellen haben. Mit einem Patch-Management-System stellen Sie sicher, dass alle Geräte stets mit den neuesten Sicherheitsupdates versorgt werden – dies im besten Falle automatisch.

Festplattenverschlüsselung: Schutz bei Verlust
Durch Verschlüsselung wird sichergestellt, dass die Daten auf einem gestohlenen oder verlorenen Gerät nicht in die falschen Hände geraten. Bei Windows 10 und 11 ist bspw. BitLocker kostenlos dabei.

Warum ist diese Schicht wichtig?
Ein ungeschütztes Gerät oder virtuelle Maschine ist ein offenes Tor für Angreifer. Durch eine robuste Absicherung Ihrer Geräte sorgen Sie dafür, dass jedes Gerät zu einem verlässlichen Teil Ihrer Sicherheitsstrategie wird.

6. Schicht: App

Anwendungen, die täglich genutzt werden, sind ein häufiges Ziel für Angreifer. Diese Schicht konzentriert sich darauf, die Sicherheit von Anwendungen und den Zugriff darauf zu gewährleisten.

Authentifizierung: Wer sind Sie?
Authentifizierung ist der Prozess, bei dem Nutzer nachweisen, dass sie tatsächlich die Person sind, für die sie sich ausgeben – z. B. durch Eingabe eines Passworts, eines Fingerabdrucks oder eines Codes.

Autorisierung: Was dürfen Sie?
Nach der Authentifizierung wird geprüft, welche Berechtigungen ein Nutzer hat. So wird sichergestellt, dass er nur auf die Anwendungen und Daten zugreifen kann, die für ihn freigegeben sind.

Single Sign-On (ssO): Ein Login für alles
Mit SSO melden sich Nutzer einmal an und erhalten sicheren Zugriff auf alle benötigten Anwendungen. Das reduziert die Zahl der Passwörter und verbessert die Benutzerfreundlichkeit – ohne die Sicherheit zu gefährden.

Multi-Faktor-Authentifizierung (MFA): Zusätzliche Sicherheitsschicht
Neben einem Passwort wird ein weiterer Faktor, z. B. ein SMS-Code oder eine App-Bestätigung, abgefragt. So wird der Zugang selbst bei gestohlenen Passwörtern geschützt. Sämtliche externen Zugriffe müssen zwingend mit MFA abgesichert sein.

Sichere App-Konfiguration: Keine Schwachstellen offenlassen
Anwendungen müssen sicher eingerichtet und regelmässig aktualisiert werden, um bekannte Schwachstellen zu schliessen.

• Welche Applikationen dürfen genutzt werden? Nicht erwünschte Applikationen können einfach mittels einem sogenannten «Application Control» blockiert werden.

Warum ist diese Schicht wichtig?
Angriffe auf Anwendungen zielen oft darauf ab, Zugangsdaten zu stehlen oder Sicherheitslücken auszunutzen. Mit klaren Authentifizierungs- und Autorisierungsprozessen sowie zusätzlichen Schutzmassnahmen sichern Sie diese kritische Schicht zuverlässig ab.

7. Schicht: Daten

Ihre Daten sind der wertvollste Bestandteil Ihres Unternehmens. Diese Schicht fokussiert sich darauf, Daten vor Verlust, Diebstahl oder unbefugtem Zugriff zu schützen, unabhängig davon, wo sie gespeichert oder übertragen werden.

Verschlüsselung: Schutz durch Unlesbarkeit
Daten sollten, wann immer möglich, verschlüsselt werden:

• Bei der Übertragung (z. B. per HTTPS oder VPN), um ein Abfangen zu verhindern.
• Im Ruhezustand (z. B. auf Servern oder Festplatten), um sie bei Diebstahl unzugänglich zu machen.

Zugriffskontrolle: Nur wer darf, kann
Nur autorisierte Personen sollten Zugriff auf sensible Daten haben. Das wird durch klare Rollen- und Rechteverteilungen sichergestellt.

Datensicherung: Sicherheit vor Verlust
Regelmässige Backups stellen sicher, dass Daten nach einem Angriff oder technischen Ausfall schnell wiederhergestellt werden können. Wichtig ist, die Backups an getrennten Orten zu speichern und regelmässig zu testen. Weiter gilt es, die Backupdaten sowohl netzwerktechnisch wie auch zeitlich abzuschotten. Zudem ist ein Offline Backup essentiell.

Datenklassifizierung: Ordnung und Fokus schaffen
Nicht alle Daten sind gleich sensibel. Durch Klassifizierung (z. B. „öffentlich“, „intern“, „vertraulich“) können Sicherheitsmassnahmen gezielt auf besonders kritische Daten angewendet werden.

Warum ist diese Schicht wichtig?
Angriffe wie Ransomware, bekannte Schwachstellen oder Datenlecks zielen direkt auf Ihre Unternehmensdaten ab. Mit einer starken Sicherungsschicht rund um Ihre Daten stellen Sie sicher, dass Ihr wertvollstes Gut geschützt bleibt – und Ihr Geschäft weiterhin läuft.

Fazit: Sicherheit ist eine Teamleistung

Die „Defense in Depth“-Strategie zeigt, dass IT-Sicherheit nicht von einer einzigen Massnahme abhängt, sondern von einem Zusammenspiel aus mehreren Schichten. Jede Ebene – von Richtlinien über den Perimeter bis hin zu den Daten trägt dazu bei, Ihr Unternehmen umfassend zu schützen.

Wir wissen, dass die Umsetzung solcher Massnahmen komplex wirken kann. Aber Sie sind nicht allein! Als Ihr IT-Dienstleister stehen wir Ihnen gerne zur Seite – sei es bei der Analyse Ihrer aktuellen Sicherheitslage, der Auswahl geeigneter Lösungen oder der Implementierung passender Massnahmen.

Sprechen Sie uns an – gemeinsam machen wir Ihre IT sicher!