Defense in Depth – Strategie

Defense in Depth wird haeufig als Architekturdogma missverstanden – mehr Schichten ist immer besser. Die strategische Realitaet ist differenzierter: Jede Schicht kostet, und Komplexitaet erzeugt eigene Risiken. Die Kunst liegt in der richtigen Balance.

Die strategische Perspektive

Defense in Depth ist keine technische Patentloesung, sondern ein strategisches Risikoverteilungsprinzip. Wer das Angreifermodell kennt (Threat Actors, Angriffsvektoren, Motivation), kann die Schichten gezielt platzieren – nicht als Schichtenkuchen, der alle denkbaren Angriffe abwehren soll, sondern als effizienter Schutz gegen die wahrscheinlichsten und schaedlichsten Angriffe.

Defense in Depth und Executable Compliance

Der groesste strategische Hebel liegt in der automatischen Verifikation der Schichten: Konfigurationspruefungen fuer Firewall-Regeln, EDR-Coverage-Reports, MFA-Status-Reports – wenn diese automatisiert laufen, entsteht ein kontinuierliches Bild der Sicherheitsarchitektur. Das BAM-Objekt CROSS-DD-01 ist der Einstiegspunkt.

Assume Breach als Weiterentwicklung

Defense in Depth geht davon aus, dass Angreifer einzelne Schichten ueberwinden koennen – und richtet deshalb innere Verteidigungslinien ein. “Assume Breach” geht noch weiter: Es setzt voraus, dass Angreifer bereits im Netz sind, und richtet Erkennung, Eindaemmung und Reaktion entsprechend aus. Fuer NIS-2 und DORA ist diese Denkweise der empfohlene Ausgangspunkt fuer Sicherheitsarchitekturentscheidungen.

Den praktischen Einstieg – wie Defense in Depth konkret dokumentiert und im Audit nachgewiesen wird – findet sich auf Ebene 2.