Glossary term
Defense in Depth
Also: Verteidigung in der Tiefe
Sicherheits-Architektur-Prinzip, bei dem mehrere Schutzschichten (Identity, Endpoint, Netzwerk, Daten, Anwendung, physisch) so kombiniert werden, dass das Versagen einer einzelnen Schicht den Schutz nicht auflöst. Steht in NIS2 Art. 21 implizit im Hintergrund.
Defense in Depth stammt aus der militaerischen Doktrin und hat sich als Standard-Cybersecurity-Modell durchgesetzt. Jede Schicht hat eigene Kontrollen: Identity Provider, EDR, Firewall, Segmentierung, DLP, Krypto, MFA, Monitoring.
Praktisch: ein einziges Stoppen reicht nicht. Selbst wenn ein Endpoint kompromittiert ist, sollte segmentierter Netzwerk-Zugang die Lateral Movement begrenzen. Das ist auch der Grund, warum NIS2 Art. 21 zehn unterschiedliche Massnahmen-Bereiche fordert.
Im DecisionOS-Workflow wird Defense in Depth als Bewertungs-Linse verwendet: jede Tool-Entscheidung wird daraufhin geprueft, welche Schutzschichten sie staerkt und ob sie kritische Schichten ueberlappt oder Luecken hinterlaesst.
Related terms
Zero Trust
A security model built on the principle that no user, device or network location is trusted by defau…
EDR (Endpoint Detection and Response)
A class of endpoint security tools that continuously records endpoint activity and enables detection…
Compliance mapping
The explicit link between a decision (vendor, architecture, control) and the specific regulatory art…