Data Breach Containment – Zero Networks mit Leitfaden zur Eindämmung von Sicherheitsverletzungen

Kay Ernst ©Zero Networks

Laut einer Studie von IBM beliefen sich die durchschnittlichen Kosten einer Sicherheitsverletzung im Jahr 2024 auf 4,88 Millionen US-Dollar. Die durchschnittliche Zeit bis zur Eindämmung (MTTC, Mean Time To Contain A Breach) betrug insgesamt 64 Tage – zusätzlich zu den 194 Tagen, die Unternehmen benötigten, um sie überhaupt zu erkennen. In den ersten drei Monaten des Jahres 2025 haben sich die Ransomware-Angriffe im Vergleich zum Vorjahreszeitraum mehr als verdoppelt.

Trotz steigender Investitionen in Cybersicherheit haben viele Unternehmen immer noch Schwierigkeiten, Sicherheitsverletzungen einzudämmen, bevor sie sich zu Krisen ausweiten, die Schlagzeilen machen. Warum? Reaktionen auf Datenverletzungen basieren seit langem auf der Erkennung als Voraussetzung für die Eindämmung. Kay Ernst von Zero Networks erläutert, mit welchen Strategien die Auswirkungen einer erfolgreichen Attacke zumindest stark eingedämmt werden können.

Was ist Data Breach Containment?

Data Breach Containment bezeichnet den Prozess der Begrenzung des Umfangs und der Ausbreitung eines Cybersicherheitsvorfalls, bevor daraus weitreichende Schäden hervorgehen. Dabei geht es darum, laterale Bewegungen zu blockieren, kompromittierte Ressourcen zu isolieren und sicherzustellen, dass Angreifer sich nicht in Ihrer Umgebung bewegen können.
Im Gegensatz zur Erkennung von Sicherheitsverletzungen, bei der ein laufender Angriff identifiziert wird, verhindert die Eindämmung im Idealfall, dass der Angreifer über die kompromittierte Ressource hinaus vordringt. Die Eindämmung ist ein zentraler Bestandteil jeder effektiven Strategie zur Reaktion auf Vorfälle. Laut Ressourcen wie den NIST Incident Response Recommendations and Considerations for Cybersecurity Risk Management sowie dem FTC Data Breach Response Guide ist die Begrenzung des Umfangs einer Verletzung genauso wichtig wie deren Identifizierung. Mit anderen Worten: Die Erkennung ist wichtig, aber die Eindämmung ist der Schlüssel, um zu verhindern, dass eine Datenverletzung zu einer Katastrophe wird.

Verringerung der Angriffsfläche

Eine große Angriffsfläche bietet Cyberangreifern mehr Möglichkeiten – mehr Ports, mehr Anmeldedaten und mehr Systeme, die sie ausnutzen können. Eindämmungsstrategien reduzieren die Angriffsfläche und schränken ein, was ein Angreifer sehen oder aufrufen kann, selbst wenn er einen Endpunkt kompromittiert. Je kleiner die Angriffsfläche ist, desto weniger Spielraum haben Angreifer – und desto einfacher ist es, Bedrohungen schnell zu neutralisieren. Eine ordnungsgemäß segmentierte Netzwerkarchitektur schränkt den Wirkungsradius von Angreifern erheblich ein, indem sie Bedrohungen isoliert und eindämmt. Dr. Chase Cunningham, auch bekannt als Dr. Zero Trust, drückt es so aus: „Wenn Ihre Architektur tatsächlich präzise und korrekt ist und die Segmentierung dort erfolgt, wo sie sein soll, ist es wie in der Marine: Wir nennen das wasserdichte Integrität – ich kann einen Raketentreffer einstecken, und das Schiff bleibt trotzdem schwimmfähig.“

Verhindern von lateralen Bewegungen

Sobald sie sich im Netzwerk befinden, nutzen Angreifer häufig legitime Tools und Anmeldedaten, um ihre Berechtigungen zu erweitern und sich lateral zu bewegen. Ohne interne Grenzen bleibt diese Bewegung oft unentdeckt, bis es zu spät ist. Indem sie der Eindämmung von Bedrohungen Vorrang vor der reinen Erkennung geben, können Sicherheitsteams laterale Bewegungen verhindern und sicherstellen, dass Angreifer selbst dann, wenn sie ein System kompromittieren, keine Ransomware verbreiten, auf sensible Daten zugreifen oder den Betrieb stören können.

Warum Erkennung allein nicht ausreicht

Die meisten Erkennungstools sind von Natur aus reaktiv. Sie warnen, nachdem böswilliges Verhalten bereits begonnen hat – und da viele Angreifer innerhalb von 30 Minuten nach der ersten Kompromittierung mit lateralen Bewegungen beginnen, kommen diese Warnungen oft zu spät. Schlimmer noch, viele Techniken für laterale Bewegungen unterlaufen herkömmliche Erkennungstools, weshalb es in der Regel so lange dauert, bis Sicherheitsverletzungen erkannt werden.

Obwohl Lösungen wie EDR-Systeme und SIEM-Plattformen ein wichtiger Bestandteil des Puzzles zur Reaktion auf Sicherheitsverletzungen sind, bieten sie nur begrenzten Echtzeitschutz. António Vasconcelos, Customer Engineer bei Zero Networks, erklärt: „All dies sind Bereiche der Erkennung nachträglicher Ereignisse. Die Sichtbarkeit bietet hingegen Möglichkeiten, potenzielle Angriffsvektoren und -pfade zu verstehen, in die Unternehmen investieren müssen, um ihre Sicherheit zu erhöhen. Leider verfügen Unternehmen in den meisten Fällen nicht über eine solche Strategie, bei der die Erkennung Teil eines Zyklus kontinuierlichen Lernens und kontinuierlicher Verbesserung ist.“

Best Practices zur Eindämmung von Datenverletzungen

Während die Eindämmung von Sicherheitsverletzungen früher zwangsläufig auf die Erkennung und Identifizierung von Bedrohungen in Incident-Response-Plänen folgte, ermöglichen moderne Lösungen einen proaktiveren Ansatz. Unternehmen können nun widerstandsfähige Netzwerkarchitekturen aufbauen, die Angreifer standardmäßig blockieren, um laterale Bewegungen in Echtzeit zu verhindern. Mit anderen Worten: Die ideale Netzwerk-Schutzstrategie würde eine integrierte Bedrohungsabwehr umfassen, die durch Best Practices wie ganzheitliche Mikrosegmentierung, robuste Identitätszugriffskontrollen, MFA und Automatisierung erreicht wird.

Sofortige Isolierung kompromittierter Systeme

Bei einer Sicherheitsverletzung ist Schnelligkeit entscheidend. Bei jedem Cybervorfall besteht der erste Schritt darin, die betroffenen Systeme vom Rest des Netzwerks zu isolieren, um eine Ausbreitung zu verhindern. Dieser Grundsatz ist Kernstück des Incident-Response-Lebenszyklus des NIST, aber in der Realität beginnen wirksame Strategien zur Eindämmung von Sicherheitsverletzungen lange bevor es zu einer Kompromittierung kommt. Proaktive Netzwerksicherheitsstrategien wie Netzwerksegmentierung und identitätsbasierte Zugriffskontrollen stellen sicher, dass kompromittierte Ressourcen sofort isoliert werden, wodurch die Eindämmung von einer reaktiven zu einer präventiven Maßnahme wird.

Zero-Trust-Mikrosegmentierung einsetzen

Moderne Bedrohungen sind heimlicher und raffinierter denn je – VLANs und grobe Segmentierung reichen nicht mehr aus, um die Angreifer von heute einzudämmen. Crystal Chadwick, Customer Engineer bei Zero Networks, erklärt: „VLANs verlieren an Wirksamkeit, weil sie oft voller Lücken sind, sodass der Datenverkehr zwischen ihnen nicht behindert wird. Sie vermitteln ein falsches Gefühl der Sicherheit, da sie scheinbar Ressourcen segmentieren, obwohl sie in Wirklichkeit nicht richtig für die Segmentierung konfiguriert sind.“ 

Um Bedrohungen proaktiv einzudämmen, ist eine detailliertere Kontrolle erforderlich. Mit Zero Trust-Mikrosegmentierung können Unternehmen detaillierte Zugriffsregeln basierend auf Rollen, Netzwerkverhalten und Funktionen durchsetzen. Systeme und Benutzer können nur dann kommunizieren, wenn dies ausdrücklich erlaubt ist – alles andere wird standardmäßig blockiert. Dadurch wird der Wirkungsradius eines Angreifers stark eingeschränkt, bevor er überhaupt in das Netzwerk eindringen kann.

Implementieren von Multi-Faktor-Authentifizierung

Hacker brechen nicht ein, sie melden sich an. Mit den richtigen Anmeldedaten kann sich ein Angreifer lateral durch ein Netzwerk bewegen und sich dabei in den legitimen Datenverkehr einfügen, um keinen Alarm auszulösen. Privilegierte Konten, unsichere Fernzugriffsprotokolle und relativ flache Netzwerkarchitekturen können Unternehmen anfällig für identitätsbasierte Angriffe machen, die im Jahr 2024 laut IBM fast 30 Prozent aller Cybervorfälle ausmachten. Im gleichen Zeitraum dauerte es durchschnittlich 292 Tage, um Sicherheitsverletzungen durch gestohlene Anmeldedaten zu identifizieren und einzudämmen.

Durch die Anwendung von MFA auf alle sensiblen Protokolle, Betriebssysteme oder Anwendungen werden viele der bevorzugten Angriffswege von Angreifern unterbunden. Mit MFA auf Netzwerkebene können Unternehmen sogar ältere Technologien, Datenbanken und andere historisch risikobehaftete Ressourcen sichern und so ihre Infrastruktur besser schützen. Diese Sicherheit wird durch die Kombination von Identitätssegmentierung und Netzwerksegmentierung noch weiter verstärkt. Chris Turek, CIO bei Evercore, erklärt: „Die Kombination aus Netzwerksegmentierung und Identitätssegmentierung definiert die Architektur mit minimalen Berechtigungen neu und bietet ein bisher auf dem Markt unerreichtes Maß an Schutz. Damit können Sicherheitsteams die Segmentierung von Netzwerkgeräten bis auf Port- und Protokollebene kontrollieren und anschließend die Benutzeranmeldung je nach Anmeldetyp (Netzwerk, lokal, Dienst usw.) vollständig steuern.“

Durchsetzung adaptiver Sicherheitsrichtlinien

Moderne Netzwerke sind dynamisch – statische Richtlinien sind schnell veraltet, manuelle Aktualisierungen sind jedoch zeitaufwändig, anfällig für Fehlkonfigurationen und hinterlassen oft Lücken während der Übergangsphase.

Stattdessen sollten sich Richtlinien ständig an die Entwicklung des Netzwerks anpassen und sich bei Zugriffsentscheidungen an Identität, Verhalten und Risikoposition orientieren. Durch die Automatisierung der Erstellung und Durchsetzung von Richtlinien wird sichergestellt, dass Eindämmungsstrategien immer auf dem neuesten Stand sind und keine versteckten Lücken entstehen, die Angreifer ausnutzen können.

Cyber-Resilienz: Integrierte Eindämmung von Bedrohungen

Die proaktive Eindämmung von Sicherheitsverletzungen ist keine isolierte Taktik, sondern ein Nebenprodukt einer resilienten Zero-Trust-Architektur. Wenn Assets sicher isoliert sind und der Zugriff durch granulare Kontrollen geregelt wird, werden Sicherheitsverletzungen automatisch eingedämmt, bevor sie sich ausbreiten können. Die Vorteile sind nicht nur technischer Natur, sondern umfassen verkürzte Reaktionszeiten, ein minimiertes Risiko rechtlicher und regulatorischer Verstöße, geringere Betriebsunterbrechungen sowie schnellere Wiederherstellung und geringere Gesamtkosten.

Eine Zero-Trust-Denkweise erfordert, dass Unternehmen davon ausgehen, dass eine Sicherheitsverletzung unvermeidbar ist, und sich darauf konzentrieren, den Schaden zu minimieren. Indem sie Cyber-Resilienz priorisieren, können sie sich darauf verlassen, dass die Eindämmung von Sicherheitsverletzungen in die Grundlage Ihres Netzwerks integriert ist.

Blockieren von Cyberangriffen in Echtzeit

Mit automatisierter Mikrosegmentierung ist die Eindämmung von Sicherheitsverletzungen ein wirksames Mittel den Schaden zu minimieren. Eine deterministische Automatisierungs-Engine erstellt präzise Netzwerkregeln und -richtlinien für Assets und baut ein widerstandsfähiges Netzwerk auf, das auf dem Prinzip der geringsten Privilegien basiert, um Bedrohungen sofort einzudämmen.

Disclaimer:
„Für den oben stehenden Beitrag sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Nutzer verantwortlich. Eine inhaltliche Kontrolle des Beitrags seitens der Seitenbetreiberin erfolgt weder vor noch nach der Veröffentlichung. Die Seitenbetreiberin macht sich den Inhalt insbesondere nicht zu eigen.“

Data Breach Containment – Zero Networks mit Leitfaden zur Eindämmung von Sicherheitsverletzungen

zusammenhängende Posts

Digitale Wende: Mit ERP-Software der SOU AG in die Zukunft der Personalverwaltung

Prozesse verstehen und optimieren – Abbyy erläutert, wie Process Mining Unternehmen effizienter macht

Neues Lünendonk-Whitepaper zu Steuerungsmodellen im Facility Management: Digitalisierung stärkt Partnerschaften

Neue Lünendonk-Studie Wirtschaftsprüfung und Steuerberatung in Deutschland