Angesichts der wachsenden Zahl an Cyberangriffen und immer strengerer regulatorischer Vorgaben ist ein tiefgreifender Schutz vor digitalen Bedrohungen für Unternehmen längst kein optionales Extra mehr – er ist unverzichtbar geworden. Das Prinzip der „Defense in Depth“ – also der Sicherheit in mehreren Schichten – rückt dabei immer stärker in den Fokus.

Cybersecurity: Ein wachsender Kostenfaktor

Die Investitionen in IT-Sicherheit steigen rasant: Allein in Deutschland werden die Ausgaben für Cybersicherheit bis 2025 voraussichtlich die 10-Milliarden-Euro-Marke überschreiten – das entspricht rund 17 % der gesamten IT-Ausgaben im Land.

Gleichzeitig verursachen Sicherheitsvorfälle enorme Kosten:

• 81 % der deutschen Unternehmen waren bereits von Sicherheitsverletzungen betroffen.
• Die daraus entstehenden Schäden summieren sich jährlich auf rund 267 Milliarden Euro.

Europas Investitionsungleichgewicht – Chance für deutsche Startups

Im europäischen Vergleich wird deutlich: Deutschland hinkt bei den Cybersecurity-Investitionen hinterher. Nur 7 % der europäischen Gelder fließen hierher, während Großbritannien 37 % und Frankreich 12 % auf sich vereinen.

Dabei birgt gerade dieser Rückstand großes Potenzial – besonders für innovative Startups in Bereichen wie Cloud Security, Datenschutz und Regulatorik. Der deutsche Markt wächst, befindet sich aber noch in einem frühen Stadium: Die meisten Finanzierungsrunden liegen aktuell in der Seed- oder Pre-Seed-Phase.

Insights von David Clarke: Wie Unternehmen „Defense in Depth“ richtig umsetzen

Im Gespräch mit David Clarke – einem erfahrenen Cybersicherheitsexperten, der unter anderem Sicherheitsstrategien für einige der größten Finanznetzwerke der Welt verantwortet hat – sprachen wir bereits über den Umgang mit verschlüsselter Datenspeicherung sowie über die Auswirkungen von NIS2 und DORA auf Unternehmen

Diesmal widmen wir uns seinem Spezialgebiet: dem Aufbau einer ganzheitlichen, mehrschichtigen Verteidigungsstrategie – also Defense in Depth. Hier ein Überblick über seine wichtigsten Erkenntnisse aus dem Interview.

Was steckt hinter dem Prinzip „Defense in Depth“?

Das Grundprinzip ist einfach: Statt sich auf eine einzelne Sicherheitsmaßnahme zu verlassen, setzen Unternehmen auf mehrere Schutzebenen, die ineinandergreifen. Clarke vergleicht das mit historischen Verteidigungsanlagen – wie Burgen mit Gräben, Mauern und Türmen. Auch heute sollen verschiedene Schutzmechanismen gemeinsam dafür sorgen, dass Daten und Systeme optimal gesichert sind.

Schwachstellen- und Risikomanagement als Schlüsselkomponenten

Ein zentrales Element: Das Management von Sicherheitslücken. Clarke betont, wie entscheidend es ist, Schwachstellen zeitnah zu erkennen und zu schließen – und das möglichst ohne den laufenden Betrieb zu stören. Er schildert ein Beispiel aus dem Finanzbereich:

Zudem rät Clarke dazu, Risikobewertungen fest in den Prozess zu integrieren. Wer seine Schwachstellen kennt und priorisiert, kann Risiken besser reduzieren und die eigene Resilienz gegenüber Bedrohungen deutlich erhöhen.

Mehrere Sicherheitsebenen statt Single Point of Failure

Ein weiteres zentrales Learning: Eine einzige Maßnahme – etwa eine Firewall – reicht nicht aus. Wenn diese eine Schwachstelle aufweist oder ausfällt, kann das gravierende Folgen haben. Clarke empfiehlt daher unterschiedliche Sicherheitslösungen, idealerweise von mehreren Anbietern, um Ausfallrisiken zu minimieren.

Superuser-Zugriffe konsequent absichern

Mitarbeitende mit weitreichenden Zugriffsrechten – sogenannte Superuser – sind besonders sensibel. Wird ein solcher Zugang kompromittiert, sind oft auch Protokolle und Daten schnell verloren. Clarkes Rat:

Er spricht sich für zeitlich begrenzte Zugriffsrechte und mehrstufige Sicherheitsmaßnahmen aus, um Missbrauch bestmöglich zu verhindern. Mitarbeiterschulung: Wissen als Verteidigungslinie Ein oft unterschätzter Faktor: Die Menschen im Unternehmen. Clarke hebt hervor, wie wichtig Schulungen und klare Prozesse zur Eskalation von Sicherheitsvorfällen sind. Je besser Mitarbeitende geschult sind, desto schneller kann im Ernstfall reagiert werden – das reduziert Schäden und Ausfallzeiten deutlich.

Gut vorbereitet für den Notfall

Auch ein Notfallplan gehört laut Clarke zu jeder Sicherheitsstrategie. Dabei geht es nicht nur um Technik, sondern auch um klare Verantwortlichkeiten und Abläufe. Alle Beteiligten müssen wissen, was zu tun ist, wenn ein Vorfall eintritt – von der schnellen Eskalation bis zur strukturierten Reaktion und Wiederherstellung.

Hardwarebasierte Verschlüsselung: Ein starkes Fundament

Ein besonderes Augenmerk legt Clarke auf den Einsatz von hardwarebasierter Verschlüsselung – etwa bei USB-Sticks oder externen SSDs. Seine klare Einschätzung:

Anders bei hardwarebasierten Lösungen: Hier findet die Verschlüsselung auf einem eigenen, vom Betriebssystem isolierten Sicherheitschip statt. Das macht Angriffe – etwa durch Malware – deutlich schwieriger.

Ein zusätzlicher Schutz: Viele dieser Geräte verfügen über eine Funktion zum Brute-Force-Schutz. Wird das Passwort zu oft falsch eingegeben, löscht sich das Laufwerk automatisch – und schützt die Daten so auch bei physischen Angriffen.

Gerade in sensiblen Branchen wie Finanzen, Gesundheitswesen, Behörden oder der Logistik ist das essenziell – auch, um gesetzliche Vorgaben zu erfüllen. Geräte wie die Kingston IronKey D500S oder Keypad 200 erfüllen bereits höchste Sicherheitsstandards und bieten – dank FIPS 140-3 Level 3 Zertifizierung (in Vorbereitung) – Schutz auf militärischem Niveau. Für besonders große Datenmengen sind die Vault Privacy 80 SSDs mit FIPS 197-Zertifizierung eine sichere Lösung für Air-Gapped-Backups.

Fazit: Sicherheit in Schichten denken

Defense in Depth bedeutet mehr als nur Technik – es geht um ein Zusammenspiel aus Maßnahmen, Prozessen und Menschen. Von Firewalls über Schwachstellenmanagement und Superuser-Kontrollen bis hin zur Mitarbeiterschulung: Jede einzelne Ebene zählt.

Gerade für den noch jungen, aber wachsenden deutschen Markt bietet dieser Ansatz eine enorme Chance – sowohl zur Stärkung der eigenen Sicherheitsarchitektur als auch als Wachstumsfeld für innovative Anbieter. David Clarkes Einblicke machen deutlich: Wer Sicherheit ganzheitlich denkt, schützt nicht nur Systeme – sondern auch Zukunftsfähigkeit, Vertrauen und Unternehmenswerte.