Breach Containment

Firewalls, Virenschutz und Schulungen senken die Wahrscheinlichkeit eines erfolgreichen Angriffs. Auf null bringen sie sie nicht. Eine einzige überzeugende Phishing-Mail oder eine ungepatchte Schwachstelle reicht, und ein Angreifer steht im Netzwerk. Die entscheidende Frage lautet dann: Wie weit kommt er von dort? In flachen Netzen ist die Antwort unangenehm, denn ein einzelner kompromittierter Rechner öffnet dort den Weg zu Servern, Datenbanken und Backups. Breach Containment setzt genau an dieser Stelle an. Der Ansatz akzeptiert, dass Kompromittierungen vorkommen, und sorgt dafür, dass aus einem infizierten System kein flächendeckender Ausfall wird.

Was ist Breach Containment?

Breach Containment beschreibt Architektur und Maßnahmen, die einen erfolgreichen Einbruch räumlich begrenzen. Der Begriff folgt dem Assume-Breach-Prinzip: Sicherheitsverantwortliche planen so, als wäre ein Angreifer bereits im Netz. Aus dieser Perspektive verschiebt sich der Fokus von der reinen Prävention an der Außengrenze hin zur Kontrolle der Bewegungen im Inneren.

Das wichtigste Werkzeug dafür ist Segmentierung. Sie unterteilt das Netzwerk in kleine, voneinander isolierte Zonen, deren Kommunikation über Richtlinien geregelt ist. Beim Ringfencing wird diese Idee auf einzelne kritische Anwendungen zugespitzt: Um ein ERP-System, eine Produktionssteuerung oder die Backup-Umgebung entsteht ein enger Schutzring, der ausschließlich die dokumentiert notwendigen Verbindungen erlaubt. Alles andere wird blockiert, unabhängig davon, woher die Anfrage stammt.

So funktioniert es

Wirksame Eindämmung entsteht aus mehreren Bausteinen, die aufeinander aufbauen:

  • Sichtbarkeit herstellen: Am Anfang steht eine Karte aller Kommunikationsbeziehungen zwischen Systemen. Erst wer weiß, welche Verbindungen der Betrieb tatsächlich braucht, kann den Rest gezielt unterbinden.
  • Segmente definieren: Anwendungen und Systeme werden nach Funktion und Kritikalität gruppiert. Zwischen den Segmenten gelten restriktive Regeln nach dem Least-Privilege-Prinzip: Erlaubt ist, was nachweislich gebraucht wird.
  • Kritische Systeme ringfencen: Kronjuwelen wie Verzeichnisdienste, Backups und zentrale Datenbanken erhalten eigene, besonders enge Schutzringe. Gerade Backups entscheiden nach einem Ransomware-Angriff über die Wiederherstellbarkeit.
  • Notfallschalter vorbereiten: Für den Ernstfall liegen Sperrregeln bereit, die sich sofort aktivieren lassen, etwa die Isolation eines Standorts oder einer kompletten Umgebung. Eindämmung wird damit von stundenlanger Handarbeit zu einer einzelnen Entscheidung.
  • Kontinuierlich nachschärfen: Netzwerke verändern sich laufend. Neue Anwendungen, Cloud-Workloads und Schnittstellen fließen fortlaufend in die Regelwerke ein, damit die Eindämmung wirksam bleibt.

Warum es wichtig ist

  • Prävention allein genügt nicht: Zugangsdaten werden gestohlen, Zero-Day-Lücken existieren vor jedem Patch. Eindämmung wirkt auch dann, wenn die vorgelagerte Abwehr versagt.
  • Der Schaden hängt am Radius: Ob Ransomware eine Handvoll Systeme verschlüsselt oder ganze Standorte, entscheidet über die Dauer des Wiederanlaufs. Containment begrenzt diesen Radius, bevor der Angriff passiert.
  • Laterale Bewegung ist das Kernproblem: Angreifer landen selten direkt am Ziel. Sie arbeiten sich von einem unauffälligen Einstiegspunkt zu den wertvollen Systemen vor. Segmentierung durchtrennt genau diese Wege.
  • Regulatorik verlangt Begrenzung: NIS2 und DORA fordern die Aufrechterhaltung des Betriebs auch während eines Vorfalls. Nachweisbare Eindämmungsfähigkeit ist dafür ein zentraler Baustein.
  • Versicherbarkeit verbessert sich: Cyber-Versicherer bewerten die Ausbreitungsgefahr im Netz. Wer Containment belegen kann, verhandelt aus einer besseren Position.

Typische Szenarien

Das Standardszenario ist Ransomware. Ein Angreifer kompromittiert einen Arbeitsplatz über Phishing und versucht anschließend, Server und Backups zu erreichen. In einem segmentierten Netz endet dieser Weg an der nächsten Zonengrenze. Verschlüsselt wird schlimmstenfalls das Segment des Einstiegspunkts, der Rest des Unternehmens arbeitet weiter.

Ein zweites Szenario sind kompromittierte Dienstleisterzugänge. Fernwartungszugänge von Lieferanten sind ein beliebtes Einfallstor, weil sie oft breiter berechtigt sind als nötig. Ringfencing stellt sicher, dass ein externer Zugang ausschließlich die Systeme erreicht, für die er eingerichtet wurde.

Auch Altsysteme profitieren. Eine Produktionsmaschine mit veraltetem Betriebssystem lässt sich häufig weder patchen noch ersetzen. In einem engen Segment bleibt ihre Schwachstelle zwar bestehen, wird für Angreifer aber praktisch unerreichbar.

Breach Containment und Incident Response: der Unterschied

Incident Response ist der Gesamtprozess für den Umgang mit einem Vorfall: von der Erkennung über Analyse und Eindämmung bis zu Wiederherstellung und Nachbereitung. Breach Containment ist darin ein Baustein mit einer Besonderheit: Es wirkt bereits, bevor Menschen reagieren. Während das Incident-Response-Team alarmiert wird und die Lage bewertet, hat eine segmentierte Architektur die Ausbreitung schon gebremst. Containment ist die bauliche Vorsorge, Incident Response das organisierte Handeln im Ereignisfall. Am stärksten sind beide zusammen: Die Architektur verschafft dem Team Zeit, und das Team nutzt die vorhandenen Kontrollpunkte für die gezielte Isolation betroffener Bereiche.

Umsetzung mit KAEMI

KAEMI setzt Breach Containment als Managed Service um. Kern ist die Mikrosegmentierung auf Basis von Illumio: Sie macht zunächst alle Kommunikationsbeziehungen im Netzwerk sichtbar und setzt anschließend Richtlinien durch, die laterale Bewegung unterbinden, vom Ringfencing kritischer Anwendungen bis zur vorbereiteten Notfallisolation. Ergänzend sichert SASE/SSE die Zugriffe von Nutzern und Standorten ab, damit kompromittierte Endgeräte oder Konten gar nicht erst breiten Netzzugang erhalten. Wenn Sie wissen möchten, wie weit ein Angreifer in Ihrem Netz heute käme, sprechen Sie mit uns über unser Kontaktformular .

Häufige Fragen zu Breach Containment

Was bedeutet Assume Breach konkret?

Assume Breach ist eine Planungshaltung: Sicherheitsmaßnahmen werden so ausgelegt, als hätte ein Angreifer bereits einen Fuß im Netzwerk. Daraus folgen praktische Konsequenzen wie strenge interne Zugriffsregeln, Segmentierung zwischen Systemen und Überwachung des internen Datenverkehrs. Der Ansatz ersetzt keine Prävention, er ergänzt sie um die Frage nach der Schadensbegrenzung.

Was ist Ringfencing?

Ringfencing legt einen engen Schutzring um eine einzelne kritische Anwendung oder Umgebung, etwa das ERP-System oder die Backup-Infrastruktur. Erlaubt sind ausschließlich die dokumentiert notwendigen Verbindungen zu definierten Gegenstellen. Selbst ein Angreifer, der sich bereits im Netzwerk bewegt, findet damit keinen offenen Pfad zu den wichtigsten Systemen des Unternehmens.

Ersetzt Breach Containment die klassische Prävention?

Nein. Firewalls, Patch-Management und Awareness bleiben notwendig, weil sie die Zahl der Vorfälle senken. Containment übernimmt dort, wo Prävention endet: beim Angriff, der trotzdem durchkommt. Beide Ebenen zusammen ergeben eine gestaffelte Verteidigung, bei der ein einzelner Fehler kein Gesamtversagen mehr auslöst.

Wie schnell wirkt Breach Containment im Ernstfall?

Sofort, das ist der zentrale Vorteil. Segmentierungsregeln gelten dauerhaft und bremsen einen Angreifer schon in den ersten Minuten, während Menschen noch alarmiert werden. Vorbereitete Notfallregeln verschärfen die Isolation anschließend auf Knopfdruck, etwa durch das Abriegeln eines Standorts. Die Reaktionszeit sinkt damit von Stunden manueller Arbeit auf eine einzelne Entscheidung.

Wo fängt ein Unternehmen mit Breach Containment am besten an?

Mit Sichtbarkeit: Eine Analyse der realen Kommunikationsbeziehungen zeigt, welche Systeme miteinander sprechen und welche Verbindungen niemand mehr erklären kann. Darauf folgt das Ringfencing der kritischsten Anwendungen, typischerweise Backups und zentrale Verzeichnisdienste. Dieser Einstieg liefert schnellen Schutzgewinn, ohne den laufenden Betrieb zu gefährden, und lässt sich schrittweise ausbauen.

Vom Begriff zur Umsetzung: KAEMI begleitet Sie von der ersten Analyse bis in den laufenden Betrieb.