Defense in Depth – Praxis

Defense in Depth ist in Audits haeufig gut dokumentiert auf dem Papier – aber in der Praxis zeigen sich Schichten, die dieselbe Technologie nutzen, oder innere Kontrollen, die nie getestet wurden. Was Auditoren wirklich pruefen, zeigt dieser Abschnitt.

Was Auditoren konkret pruefen

Bei einer Pruefung von Defense in Depth prueft der Auditor das Architektur-Dokument, die Unabhaengigkeit der Schichten und den Nachweis, dass jede Schicht fuer sich wirksam ist. Das BAM-Objekt CROSS-DD-01 definiert, was konkret vorgelegt werden muss.

Haeufige Fehler

• Alle Endpoint-Sicherheitsloesungen vom gleichen Anbieter – gemeinsame Schwachstelle
• Keine innere Segmentierung – Perimeter-Schutz als einzige Schicht
• Dokumentiertes Schichtenmodell stimmt nicht mit der tatsaechlichen Architektur ueberein
• Penetrationstests testen nur den Perimeter, nicht innere Schichten

Umsetzung Schritt fuer Schritt

Erster Schritt: Sicherheitsarchitektur mit allen Schichten dokumentieren. Zweiter Schritt: Abhaengigkeiten zwischen Schichten analysieren – sind sie wirklich unabhaengig? Dritter Schritt: Gaps identifizieren – wo gibt es keine redundante Kontrolle? Vierter Schritt: Penetrationstests fuer innere Schichten durchfuehren. Fuenfter Schritt: Architektur-Dokument jaehrlich aktualisieren.

Evidence-Anforderungen im Audit

Der Auditor erwartet: datiertes Architektur-Dokument mit explizitem Schichtenmodell, Nachweis der Unabhaengigkeit der Schichten (verschiedene Hersteller), Penetrationstest-Berichte die innere Schichten testen und Massnahmenplaene fuer gefundene Luecken.

Die strategische Einordnung – warum Defense in Depth langfristig mehr als ein Architekturprinzip ist – findet sich auf Ebene 3.