Firewalls, Virenschutz und Schulungen senken die Wahrscheinlichkeit eines erfolgreichen Angriffs. Auf null bringen sie sie nicht. Eine einzige überzeugende Phishing-Mail oder eine ungepatchte Schwachstelle reicht, und ein Angreifer steht im Netzwerk. Die entscheidende Frage lautet dann: Wie weit kommt er von dort? In flachen Netzen ist die Antwort unangenehm, denn ein einzelner kompromittierter Rechner öffnet dort den Weg zu Servern, Datenbanken und Backups. Breach Containment setzt genau an dieser Stelle an. Der Ansatz akzeptiert, dass Kompromittierungen vorkommen, und sorgt dafür, dass aus einem infizierten System kein flächendeckender Ausfall wird.
Was ist Breach Containment?
Breach Containment beschreibt Architektur und Maßnahmen, die einen erfolgreichen Einbruch räumlich begrenzen. Der Begriff folgt dem Assume-Breach-Prinzip: Sicherheitsverantwortliche planen so, als wäre ein Angreifer bereits im Netz. Aus dieser Perspektive verschiebt sich der Fokus von der reinen Prävention an der Außengrenze hin zur Kontrolle der Bewegungen im Inneren.
Das wichtigste Werkzeug dafür ist Segmentierung. Sie unterteilt das Netzwerk in kleine, voneinander isolierte Zonen, deren Kommunikation über Richtlinien geregelt ist. Beim Ringfencing wird diese Idee auf einzelne kritische Anwendungen zugespitzt: Um ein ERP-System, eine Produktionssteuerung oder die Backup-Umgebung entsteht ein enger Schutzring, der ausschließlich die dokumentiert notwendigen Verbindungen erlaubt. Alles andere wird blockiert, unabhängig davon, woher die Anfrage stammt.
So funktioniert es
Wirksame Eindämmung entsteht aus mehreren Bausteinen, die aufeinander aufbauen:
- Sichtbarkeit herstellen: Am Anfang steht eine Karte aller Kommunikationsbeziehungen zwischen Systemen. Erst wer weiß, welche Verbindungen der Betrieb tatsächlich braucht, kann den Rest gezielt unterbinden.
- Segmente definieren: Anwendungen und Systeme werden nach Funktion und Kritikalität gruppiert. Zwischen den Segmenten gelten restriktive Regeln nach dem Least-Privilege-Prinzip: Erlaubt ist, was nachweislich gebraucht wird.
- Kritische Systeme ringfencen: Kronjuwelen wie Verzeichnisdienste, Backups und zentrale Datenbanken erhalten eigene, besonders enge Schutzringe. Gerade Backups entscheiden nach einem Ransomware-Angriff über die Wiederherstellbarkeit.
- Notfallschalter vorbereiten: Für den Ernstfall liegen Sperrregeln bereit, die sich sofort aktivieren lassen, etwa die Isolation eines Standorts oder einer kompletten Umgebung. Eindämmung wird damit von stundenlanger Handarbeit zu einer einzelnen Entscheidung.
- Kontinuierlich nachschärfen: Netzwerke verändern sich laufend. Neue Anwendungen, Cloud-Workloads und Schnittstellen fließen fortlaufend in die Regelwerke ein, damit die Eindämmung wirksam bleibt.
Warum es wichtig ist
- Prävention allein genügt nicht: Zugangsdaten werden gestohlen, Zero-Day-Lücken existieren vor jedem Patch. Eindämmung wirkt auch dann, wenn die vorgelagerte Abwehr versagt.
- Der Schaden hängt am Radius: Ob Ransomware eine Handvoll Systeme verschlüsselt oder ganze Standorte, entscheidet über die Dauer des Wiederanlaufs. Containment begrenzt diesen Radius, bevor der Angriff passiert.
- Laterale Bewegung ist das Kernproblem: Angreifer landen selten direkt am Ziel. Sie arbeiten sich von einem unauffälligen Einstiegspunkt zu den wertvollen Systemen vor. Segmentierung durchtrennt genau diese Wege.
- Regulatorik verlangt Begrenzung: NIS2 und DORA fordern die Aufrechterhaltung des Betriebs auch während eines Vorfalls. Nachweisbare Eindämmungsfähigkeit ist dafür ein zentraler Baustein.
- Versicherbarkeit verbessert sich: Cyber-Versicherer bewerten die Ausbreitungsgefahr im Netz. Wer Containment belegen kann, verhandelt aus einer besseren Position.
Typische Szenarien
Das Standardszenario ist Ransomware. Ein Angreifer kompromittiert einen Arbeitsplatz über Phishing und versucht anschließend, Server und Backups zu erreichen. In einem segmentierten Netz endet dieser Weg an der nächsten Zonengrenze. Verschlüsselt wird schlimmstenfalls das Segment des Einstiegspunkts, der Rest des Unternehmens arbeitet weiter.
Ein zweites Szenario sind kompromittierte Dienstleisterzugänge. Fernwartungszugänge von Lieferanten sind ein beliebtes Einfallstor, weil sie oft breiter berechtigt sind als nötig. Ringfencing stellt sicher, dass ein externer Zugang ausschließlich die Systeme erreicht, für die er eingerichtet wurde.
Auch Altsysteme profitieren. Eine Produktionsmaschine mit veraltetem Betriebssystem lässt sich häufig weder patchen noch ersetzen. In einem engen Segment bleibt ihre Schwachstelle zwar bestehen, wird für Angreifer aber praktisch unerreichbar.
Breach Containment und Incident Response: der Unterschied
Incident Response ist der Gesamtprozess für den Umgang mit einem Vorfall: von der Erkennung über Analyse und Eindämmung bis zu Wiederherstellung und Nachbereitung. Breach Containment ist darin ein Baustein mit einer Besonderheit: Es wirkt bereits, bevor Menschen reagieren. Während das Incident-Response-Team alarmiert wird und die Lage bewertet, hat eine segmentierte Architektur die Ausbreitung schon gebremst. Containment ist die bauliche Vorsorge, Incident Response das organisierte Handeln im Ereignisfall. Am stärksten sind beide zusammen: Die Architektur verschafft dem Team Zeit, und das Team nutzt die vorhandenen Kontrollpunkte für die gezielte Isolation betroffener Bereiche.
Umsetzung mit KAEMI
KAEMI setzt Breach Containment als Managed Service um. Kern ist die Mikrosegmentierung auf Basis von Illumio: Sie macht zunächst alle Kommunikationsbeziehungen im Netzwerk sichtbar und setzt anschließend Richtlinien durch, die laterale Bewegung unterbinden, vom Ringfencing kritischer Anwendungen bis zur vorbereiteten Notfallisolation. Ergänzend sichert SASE/SSE die Zugriffe von Nutzern und Standorten ab, damit kompromittierte Endgeräte oder Konten gar nicht erst breiten Netzzugang erhalten. Wenn Sie wissen möchten, wie weit ein Angreifer in Ihrem Netz heute käme, sprechen Sie mit uns über unser Kontaktformular .