Assume Breach: Das Designprinzip, das Ihre Architektur verändert

Was “Assume Breach” bedeutet #

“Assume Breach” bedeutet: Baue Deine Architektur so, als ob Dein Netzwerk bereits kompromittiert ist.

Das hat konkrete Konsequenzen:

1. Du kannst nicht auf Perimeter-Sicherheit vertrauen. Eine Firewall ist nicht genug.
2. Du kannst nicht auf Authentifizierung beim Login vertrauen. Ein gehackter Account kann überall sein.
3. Du kannst nicht auf Backups in Deinem Production-Netzwerk vertrauen. Wenn das Netzwerk kompromittiert ist, sind die Backups es auch.
4. Du kannst nicht davon ausgehen, dass Recovery automatisch funktioniert. Ein wiederhergestellter Server in ein kompromittiertes Netzwerk bringt nur den Angreifer zurück.

Die Architektur-Konsequenzen #

1. Zero Trust Architektur #

Traditionelle Netzwerk-Sicherheit funktioniert so: Alles draußen ist böse, alles drinnen ist vertrauenswürdig.

Zero Trust umkehrt das Modell: Alles ist potentiell kompromittiert. Jeder Zugriff wird überprüft:

• Ein Mitarbeiter meldet sich mit Laptop an → Passwort + MFA
• Der Laptop versucht, auf einen Fileserver zuzugreifen → Gerätezertifikat wird überprüft
• Jedes Netzwerk-Paket wird inspiziert
• Admin-Zugriff auf einen Server → Zeitlich limitiertes Zertifikat, nicht ewig gültig

Das kostet Komplexität und Performance. Aber es bedeutet: Selbst wenn ein Endpoint kompromittiert ist, kann der Angreifer nicht einfach lateral bewegen.

2. Micro-Segmentierung #

Das Netzwerk wird in Zonen aufgeteilt, die voneinander isoliert sind:

• Zone 1 (User Zone): Normale Workstations, Laptops. Höchstes Angriffs-Risiko.
• Zone 2 (Application Zone): Server, die mit Zone 1 kommunizieren. Aber Zone 1 kann nicht auf Zone 2 zugreifen, nur umgekehrt.
• Zone 3 (Data Zone): Fileserver, Datenbanken, kritische Assets. Kann nur von autorisierten Systemen in Zone 2 erreicht werden. Zone 1 hat keinen direkten Zugriff.
• Zone 4 (Admin Zone): Separate Infrastruktur für Admin-Aktivitäten. Keine User-Workstations. Separate Admin-Identität.

Die Idee: Wenn ein Angreifer Zone 1 kompromittiert, kann er nicht einfach zu Zone 3 springen. Er müsste jede Zone durchbrechen.

3. Air Gap #

Das ist die letzte Verteidigungslinie: Backup-Infrastruktur, die physisch vom Production-Netzwerk getrennt ist.

Ein Air-Gap-Backup funktioniert so:

1. Täglich werden Backups in Tier 1 (Online) gespeichert.
2. Einmal pro Woche wird eine Kopie physisch vom Netzwerk getrennt und auf Air-Gap-Hardware (Silent Brick) gespeichert.
3. Diese Air-Gap-Hardware hat keine Netzwerk-Verbindung. Sie steht in einem physischen Tresor.
4. Wenn Ransomware das Production-Netzwerk kompromittiert, sind die Tier 1 Backups wahrscheinlich auch kompromittiert. Aber die Air-Gap-Kopie ist sicher.

Das ist keine theoretische Abwehr. Das ist praktische Versicherung.

4. Segregierte Admin-Kontexte #

Ein klassischer Fehler: Ein Admin hat ein universelles Admin-Account, das überall funktioniert. Production, Backups, Recovery-Systeme — ein Account, alles Zugriff.

Assume Breach bedeutet: Admin-Accounts sind spezialisiert.

• Fileserver-Admin: Kann nur Fileserver administrieren.
• Database-Admin: Kann nur Datenbanken administrieren.
• Backup-Admin: Kann nur Backup-Hardware administrieren.

Wenn ein Admin-Account kompromittiert wird, ist nicht die ganze IT offen. Nur ein Teil.

Wie “Assume Breach” die Backup-Architektur verändert #

Das ist entscheidend: Eine traditionelle Backup-Architektur versagt gegen einen kompromittierten Netzwerk.

Traditionell: Backup-Server im gleichen Netzwerk, täglich synchronisiert mit Production.

Angreifer-Sicht: “Ich kompromittiere den File-Server heute. Das Backup wird morgen synchronisiert. Ich habe 24 Stunden, um auch das Backup zu löschen.”

Assume Breach Architektur: Backup ist in Tiers organisiert.

Tier	Technologie	Synchronisation	Resilienz gegen Ransomware
**Tier 1 (Online)**	Deduplizierendes Backup-System	Täglich, automatisch	Schwach (Angreifer kann es löschen)
**Tier 2 (Air-Gap)**	Silent Brick (Hard Isolation)	Wöchentlich, physisch getrennt	Stark (Physisch nicht erreichbar)
**Tier 3 (WORM)**	Silent Cubes (Hardware-WORM)	Monatlich, archiv	Extrem stark (Firmware-Ebene, nicht umgehbar)
**Tier 4 (Geo)**	Cloud oder externe Standort	Monatlich, externe Kopie	Stark (geografisch getrennt)

Ein kompetenter Angreifer wird Tier 1 zerstören. Aber Tier 2 kann er nicht erreichen (physisch getrennt). Und selbst wenn er Tier 2 erreicht, kann er Tier 3 nicht löschen (Firmware-Level Schutz).

Das ist die Architektur, die Assume Breach umsetzt.

Praktische Umsetzungsschritte #

Schritt 1: Audit Wo sind Ihre kritischen Assets? Fileserver, Datenbanken, E-Mail, Active Directory?

Schritt 2: Segmentierung planen Welche Zonen brauchen Sie? Welche Systeme gehören wohin?

Schritt 3: Zugriff neu definieren Welche Systeme dürfen auf welche zugreifen? Wo brauchen Sie strikte Kontrolle?

Schritt 4: Backup-Architektur neu aufbauen Tier 1 online bleibt, aber: Tier 2 (Air-Gap) muss physisch isoliert werden.

Schritt 5: Recovery-Umgebung aufbauen Eine Zone 3, wo Sie Systeme wiederhergestellt können, ohne Production zu berühren.

Schritt 6: Testen Nicht nur Theorie. Praktische Penetration Tests, um zu sehen ob Segmentierung funktioniert.

Das ist kein Wochenend-Projekt. Das ist eine 6-12 Monats-Initiative für ein mittelständisches Unternehmen. Aber es ist der einzige Weg, Ransomware-Resilienz zu bauen.

Häufige Fragen #

Ist Assume Breach praktisch für kleine Unternehmen? Ja, skaliert. Ein KMU mit 50 Usern braucht nicht die gleiche Komplexität wie ein DAX-Konzern. Aber die Prinzipien bleiben gleich.

Bedeutet Assume Breach, dass Prävention unwichtig ist? Nein. Assume Breach bedeutet: Prävention ist wichtig, aber nicht ausreichend. Sie brauchen beides.

Kann Assume Breach mit der Cloud umgesetzt werden? Ja, aber es ist schwächer. Cloud-Systeme haben weniger Kontrolle über Segmentierung und Air-Gap. Hybrid ist oft bessere.

---