1. Schicht: externe Firewall

Firewall mit dedizierten Zugriffsregeln „Wer und was darf rein, was darf von welchem System aus raus?“

Präzise und granulare Regelung der Quell- und Zielsysteme und der benötigten Ports.

Direkte Zugriffe so weit möglich verhindern. Stichworte „Proxy, Reverseproxy, Mailgateway etc“

2. Schicht: interne Netzwerksicherheit

Gegebenenfalls Trennung des Netzwerks in verschiedene Zonen (Segmentierung)

Zero-Trust-Konzept: die internen Systeme erlauben nur den Zugriff von definierten Quellsystemen. Beispiel: Nur ausgewählte Workstations von Admins dürfen auf die Verwaltungsoberflächen der Storage-Systeme zugreifen. Diese Workstations sind wiederum verschärft abgesichert.

Das komplette Netzwerk wird regelmäßig auf Schwachstellen mittels bekannter CVEs gescannt, sogenannte „Findings“ werden behoben oder mitigiert. Das bedeutet, es wird eine Lösung gesucht, um den Angriffsvektor so weit als möglich zu minimieren.

Darüber hinaus wird das komplette interne Netzwerk ständig auf „Rogue“-Systeme gescannt, also daraufhin ob sich unbekannte Systeme eingeschlichen haben. Nicht zuletzt findet eine ständige Überwachung auf Besonderheiten (hohe CPU-Last, auffälliger Netzwerkverkehr) statt.

3. Schicht: ActiveDirectory Hardening

Da die große Mehrheit der Daten üblicherweise auf Windows-basierten Systemen liegt, ist ein besonderes Augenmerk auf diese Systeme gerichtet. Starke Verschlüsselung, sichere Passwörter, regelmäßiges Erneuern der Kennungen mit erhöhten Rechten, „just enough administration“ sind nur einige Punkte der langen Liste von angewendeten Maßnahmen, die hier genannt werden sollen.

und nicht zuletzt: Updates updates updates!