Fachartikel

Big Picture Security: Ein strukturierter Ansatz für ganzheitliche Cyber-Sicherheit

von IT-Security

Cyber-Angriffe nehmen in Häufigkeit und Professionalität stetig zu. Verstärkt wird diese Entwicklung durch zwei Faktoren: Zum einen verändern KI-gestützte Angriffe die Bedrohungslage – Phishing-Nachrichten werden überzeugender, Schadcode lässt sich schneller entwickeln und Deepfakes erleichtern Social Engineering. Zum anderen steigen die regulatorischen Anforderungen: Mit der NIS2-Richtlinie erweitert die EU den Kreis der betroffenen Unternehmen deutlich – über die klassischen KRITIS-Sektoren hinaus – und verlangt unter anderem ein systematisches Risikomanagement, Meldepflichten bei Sicherheitsvorfällen und eine ausdrückliche Verantwortung der Geschäftsleitung. Ein kontinuierlicher, ganzheitlicher Schutz ist damit nicht länger optional.

Ein Diagramm zeigt das Zusammenspiel von Sicherheitsmanagement, public IT, Firewalls, DMZ und internem Netzwerk, um ganzheitliche IT-Security zu erreichen.

Unser Ansatz für Big Picture Security macht sichtbar, an welchen Stellen Unternehmen heute angreifbar sind und mit welchen Maßnahmen sich die Bedrohungslage wirksam reduzieren lässt. Zur besseren Orientierung gliedern wir diesen in vier Bereiche, die von außen nach innen ineinandergreifen:

  1. Public – Cloud-Dienste und externer Zugriff
  2. Firewall & DMZ – die erste technische Verteidigungslinie
  3. Internes Netzwerk – die schützenswerten Kernsysteme
  4. Sicherheitsmanagement  – die übergreifende organisatorische Steuerung, die alle anderen Bereiche umschließt
Ein stilisierter Globus mit einem Mauszeiger symbolisiert den Zugriff auf öffentliche IT-Ressourcen und Dienste.

Public

In diesem äußersten Bereich findet der Zugriff von externen und mobilen Nutzern – sowohl über firmenverwaltete Geräte (Mobile Device Management / MDM) als auch über private Geräte (BYOD) – sowie die Nutzung von Public-Cloud-Diensten (SaaS, IaaS) statt. Somit liegt hier ein großer Teil der Angriffsfläche.

External Risk Management (ERM) setzt genau dort an: Es beobachtet die nach außen sichtbare, digitale Angriffsfläche eines Unternehmens – etwa öffentlich erreichbare Systeme, Domains und Zugangsdaten. Über Threat Intelligence sowie Angriffsflächen- und Dark-Web-Monitoring lassen sich Risiken frühzeitig erkennen, bevor sie aktiv ausgenutzt werden. Mit der wachsenden Verbreitung von Cloud-Diensten wie Microsoft 365 stehen Unternehmen zugleich vor neuen Herausforderungen: Diese Dienste ermöglichen standardmäßig den Zugriff von nahezu jedem Ort und Gerät aus. Um diese Zugriffe wirksam zu steuern und abzusichern, braucht es einen modernen Architekturansatz wie Secure Access Service Edge (SASE). SASE bündelt Netzwerk- und Sicherheitsfunktionen in der Cloud und gewährleistet so einen sicheren, direkten Zugriff auf Unternehmensressourcen – unabhängig von Standort und Endgerät.

Teil eines Diagramms zur IT-Security mit Fokus auf externen Elementen wie Nutzern, Cloud, ERM, Mail-Security und SASE.

SASE umfasst insbesondere die folgenden Teilbereiche:

  • ZTNA (Zero Trust Network Access): Zugriff auf Unternehmensressourcen erhalten ausschließlich autorisierte Benutzer und Geräte – unabhängig davon, ob sie sich innerhalb oder außerhalb des Unternehmensnetzwerks befinden. Jeder Zugriff wird einzeln geprüft und freigegeben, um Bedrohungen zu minimieren.
  • CASB (Cloud Access Security Broker): Schafft Transparenz und Sicherheitskontrolle über Cloud-Anwendungen und -Dienste. Ziel ist es, Daten zu überwachen und zu schützen, die in der Cloud gespeichert und übertragen werden.
  • Web-Sicherheit: Die Absicherung der Webzugriffe – insbesondere von Endgeräten – rückt zunehmend in den Fokus, da sich diese immer häufiger außerhalb des Unternehmensnetzwerks bewegen und einem höheren Angriffsrisiko ausgesetzt sind. Secure Web Gateways sorgen hier für angemessenen Schutz.

Zusätzlich müssen E-Mails konsequent abgesichert werden (Mail Security) – sie sind nach wie vor das Einfallstor Nummer 1 für Cyber-Attacken in Unternehmen und Behörden. Phishing und die Verbreitung von Malware erfolgen in den meisten Fällen zunächst über E-Mail. Maßnahmen wie Sandboxing und URL-Redirection gehören deshalb heute zum notwendigen Standard.

Eine stilisierte Mauer mit einer Flamme darüber steht für IT-Absicherung per Firewall.

Firewall & DMZ

Für das interne Netzwerk ist die Firewall die erste Verteidigungslinie. Stand der Technik sind Next-Generation Firewalls (NGFW): Sie überwachen den Datenverkehr und stellen sicher, dass ausschließlich autorisierte Anwendungen und Inhalte zugelassen werden – sowohl bei ein- als auch bei ausgehenden Verbindungen. Entscheidend ist dabei das Aufbrechen verschlüsselter Verbindungen, um das Gefahrenpotenzial überhaupt bewerten und weitere Schutzmaßnahmen greifen lassen zu können. Für eingehende Verbindungen kommen unter anderem Intrusion-Prevention-Systeme (IPS) zum Einsatz, die Angriffe musterbasiert erkennen und unterbinden. Mit Maßnahmen zur Zero-Day-Prevention lassen sich darüber hinaus bislang unbekannte Angriffe erkennen und stoppen – etwa anhand von Abweichungen im verwendeten Kommunikationsprotokoll.

Teil eines Diagramms zur IT-Security mit Fokus auf Firewall und DMZ.

In der Demilitarisierten Zone (DMZ) übernehmen verschiedene Komponenten zentrale Aufgaben. Dazu zählen Proxy-Server – insbesondere Reverse-Proxys – die als Vermittler zwischen internen Ressourcen und externen Anwendern dienen. Auch Webserver, Relays und Connection Broker unterstützen die sichere Kommunikation und den Zugriff auf interne Systeme von außen.

Drei stilisierte Figuren stehen in Verbindung zueinander, um ein internes Netzwerk zu symbolisieren.

Internes Netzwerk

Das interne Netzwerk enthält die besonders schützenswerten Bereiche eines Unternehmens, da hier meist Kundendaten und vertrauliche Informationen verarbeitet und vorgehalten werden. Folgende Sicherheitsmaßnahmen sind daher dringend zu empfehlen:

  • Identity and Access Management (IAM): Verwaltung und Überwachung der Zugriffsrechte, damit ausschließlich autorisierte Personen auf sensible Unternehmensressourcen zugreifen können.
  • Network Access Control (NAC): NAC-Systeme prüfen und steuern, welche Geräte auf das interne Netzwerk zugreifen dürfen, sodass nur sichere und autorisierte Geräte zugelassen werden. Auch BYOD lässt sich so unterstützen – vorausgesetzt, es stehen entsprechende VDI- oder Terminalserver-Umgebungen bereit und das Netzwerk ist sinnvoll segmentiert.
  • Absicherung von Servern, Daten und Applikationen: Dazu gehören der verschlüsselte Zugriff, die verschlüsselte Ablage von Daten (Data Encryption) sowie die regelmäßige Sicherung in Form von Backups inklusive Medienbruch (Backup und Archivierung). Die Wiederherstellung muss zudem zyklisch getestet werden.
Teil eines Diagramms zur IT-Security mit Fokus auf dem internen Netzwerk und Elementen wie Nutzern, Devices und NAC.

Zwei Themen gewinnen im internen Netzwerk zunehmend an Bedeutung:

#1 OT (Operational Technology): Steuerungssysteme aus Produktion, Logistik und Gebäudetechnik verschmelzen immer stärker mit der klassischen IT. Da OT-Systeme oft lange Lebenszyklen haben und nicht für die heutige Bedrohungslage konzipiert wurden, benötigen sie besonderen Schutz – vor allem eine konsequente Netzsegmentierung (Trennung von IT und OT), das Monitoring des OT-Datenverkehrs sowie abgestimmte Patch- und Härtungskonzepte.

#2 KI (Künstliche Intelligenz): Mit dem Einzug von KI-Systemen rückt ihr sicherer Betrieb und ihre regelkonforme Nutzung in den Vordergrund. Vier Aspekte stehen dabei im Fokus:

  • Sichere Bereitstellung (On-Premises oder Cloud): Die Wahl der Betriebsumgebung richtet sich nach der Sensibilität der Daten. Besonders schützenswerte Daten – etwa Gesundheitsdaten oder personenbezogene Daten (PII) – werden meist über eine On-Premises-Bereitstellung verarbeitet, die volle Kontrolle und Datenhoheit gewährleistet. Für andere Workloads bietet sich dagegen der Betrieb in der Cloud an, der Skalierbarkeit und Wirtschaftlichkeit verbindet.
  • Schulung und KI-Kompetenz (EU AI Act):Wenn Mitarbeitende KI-Systeme nutzen, müssen Unternehmen sicherstellen, dass sie über ausreichende KI-Kompetenz verfügen. Gezielte Schulungen vermitteln den sicheren und regelkonformen Umgang mit KI und stärken das Bewusstsein für deren Grenzen und Risiken.
  • Absicherung gegen Prompt-Injection: KI-Anwendungen müssen gegen manipulierte Eingaben (Prompt-Injection) gehärtet werden – etwa durch Filterung von Ein- und Ausgaben, eine klare Trennung von System- und Nutzerkontext sowie eine Begrenzung der Aktionen, die ein Modell auslösen darf.
  • Kontrolle der Zugriffe und Regelung von Schatten-KI: Wer KI-Systeme nutzt, konfiguriert oder mit Daten versorgt, benötigt ein konsequentes Zugriffs- und Rechtemanagement. Ergänzend müssen nicht freigegebene KI-Dienste identifiziert und bewertet werden, damit sensible Daten nicht unkontrolliert in externe Systeme gelangen. Dazu gehören klare Nutzungsrichtlinien, technische Kontrollen sowie ein Freigabeprozess für KI-Anwendungen, der Sicherheit, Datenschutz und Anforderungen der Nutzer gleichermaßen berücksichtigt.
Ein Schloss-Icon symbolisiert erfolgreiche Maßnahmen des Sicherheitsmanagements in der IT.

Sicherheitsmanagement

Alle technischen Bereiche werden durch eine übergreifende Managementebene zusammengehalten, die dem Prinzip der kontinuierlichen Verbesserung folgt (überwachen, bewerten, anpassen) und den Schutz so fortlaufend an die Bedrohungslage angleicht. Zwei organisatorische Säulen bilden den Rahmen:

#1 Informationssicherheits­managementsystem (ISMS): Das ISMS verzahnt Organisation, Asset Management und Betriebsprozesse mit einem systematischen Risikomanagement, dem Incident Management sowie der regelmäßigen Wirksamkeitsbewertung der getroffenen Maßnahmen. So lassen sich Risiken steuern, gesetzliche und regulatorische Anforderungen wie aus NIS-2 erfüllen und Kosten und Risiken in Balance halten.

#2 Business Continuity Management (BCM): Ergänzend sichert das BCM den Geschäftsbetrieb im Ernstfall. Es umfasst sowohl die Vorsorge wie Pläne, Ressourcen und Abläufe für den Notfall als auch die Bewältigung eines eingetretenen Vorfalls mit dem Ziel, Ausfälle zu begrenzen und den Betrieb schnellstmöglich wiederherzustellen.

Aus diesem Rahmen leiten sich konkrete operative Maßnahmen ab, die sich zwei Schwerpunkten zuordnen lassen. Einerseits dem “Überwachen, Verwalten und Reagieren”:

  • CDC (Cyber Defense Center) mit dem Zusammenspiel aus Security Information and Event Management (SIEM), Security Operations Center (SOC) und Incident Response Team (IRT) ermöglicht es, Sicherheitsereignisse zentral zu erfassen, in Echtzeit zu bewerten und umgehend darauf zu reagieren.
  • Monitoring und IT-Dokumentation erlauben es, Störungen frühzeitig zu erkennen und Ausfälle zu reduzieren. Eine aktuelle Dokumentation schafft zugleich die nötige Transparenz über die eigene Infrastruktur.
  • Endpoint Management unterstützt die Absicherung der Systeme, etwa durch Patch-Management, Verschlüsselungsmanagement und Schutz vor Schadsoftware.

Andererseits dem “Testen und Schulen”:

  • Penetration Tests versetzen das Unternehmen in die Perspektive des Angreifers und decken bekannte wie unbekannte Schwachstellen und Konfigurationslücken auf.
  • Exposure Management erfasst und bewertet die Angriffsfläche fortlaufend, priorisiert Schwachstellen nach ihrem tatsächlichen Risiko und sorgt dafür, dass die wichtigsten Lücken zuerst geschlossen werden.
  • User Awareness dient zur Sensibilisierung der Mitarbeitenden. Unverzichtbar, denn schon ein einziger Klick kann zur Kompromittierung des gesamten Unternehmens führen.

Fazit

Umfassende Cyber-Sicherheit gelingt nur ganzheitlich im Zusammenspiel aus technologischen und organisatorischen Maßnahmen. Jeder der vier Bereiche leistet seinen Beitrag zum Schutz der IT-Systeme und Daten; erst gemeinsam ergeben sie ein belastbares Gesamtbild. Neue Entwicklungen wie KI-gestützte Angriffe, der Schutz von OT-Umgebungen und regulatorische Vorgaben wie NIS2 zeigen dabei, dass Cyber-Sicherheit kein einmaliges Projekt, sondern ein fortlaufender Prozess der kontinuierlichen Verbesserung ist.

Bei Fragen zu den einzelnen Bausteinen oder zur Einordnung Ihrer eigenen Sicherheitslage stehen wir Ihnen gern zur Verfügung.


Autor: Christian Müller
Bildquellen: SHD, Freepik

Inhalt teilen:

Sie haben Fragen?

Wünschen Sie weiterführende Informationen oder ein Angebot zu speziellen Leistungen? Kontaktieren Sie uns! Wir melden uns schnellstmöglich bei Ihnen.

Leistungen von SHD

Passend zum Thema

  • Endpoint Security
  • ISMS
Übersicht