Cyberattacke?Blog
Technische Sicherheitsreferenzarchitektur für mittelständische Unternehmen
Jun 10, 2025 von Roman Gribi
Mit der zunehmenden Digitalisierung nimmt der sichere Betrieb der IT-Infrastruktur eines Unternehmens eine immer zentralere Bedeutung ein. Der Ausfall einzelner Systeme kann direkte Auswirkungen auf zentrale Geschäftsprozesse haben und sogar existenzbedrohend sein. Dies trifft sowohl auf Grossunternehmen als auch auf kleine und mittelständische Unternehmen zu. Gerade für letztere kann es jedoch schwierig sein, geeignete technische Massnahmen zu definieren, um sich adäquat gegenüber der wachsenden Anzahl an Bedrohungen zu schützen. Im Rahmen seiner MAS-Thesis hat Roman Gribi, Lead Security Tester, dazu eine technische Sicherheitsreferenzarchitektur spezifisch für die Bedürfnisse mittelständischer Unternehmen konzipiert.
Wie einleitend erklärt, ist der sichere Betrieb der IT-Infrastruktur einer Unternehmung heutzutage von zentraler Bedeutung. Durch die Digitalisierung sind viele Geschäftsprozesse ohne IT-Unterstützung nicht mehr vorstellbar. Ausfälle, Unterbrüche oder inkorrekte Daten können dabei eine direkte Auswirkung auf zentrale Geschäftsprozesse haben und ungeschützte Informationen können sogar existenzbedrohend werden.
Herausforderung für kleinere und mittelständische Unternehmen
Gerade für kleinere und mittelständische Unternehmen kann der adäquate Schutz jedoch eine grosse Herausforderung darstellen. Oftmals lässt die Unternehmensgrösse keine eigenständige Abteilung für Cybersicherheit zu oder das Budget für die Verwendung dedizierter Cybersicherheitslösungen ist nicht vorhanden, weshalb oftmals nur grundlegende Massnahmen in diesem Bereich umgesetzt werden. Ausserdem sind allgemeingültige Vorgaben und Referenzarchitekturen spezifisch für die Bedürfnisse solcher Unternehmen oftmals gar nicht vorhanden, sehr offen formuliert oder in Grösse und Komplexität so, wie sie bei grossen Unternehmen zur Anwendung kommen.
Resultat in Form einer technischen Sicherheitsreferenzarchitektur
Das Ziel der in diesem Blogbeitrag vorgestellten, technischen Sicherheitsreferenzarchitektur für mittelständische Unternehmen ist es, genau hier anzusetzen. Auf Basis der Controls aus den Funktionen «PROTECT» und «DETECT» des NIST Cybersecurity Framework (NIST CSF) 2.0 wurden insgesamt 32 generische, technische Massnahmen definiert, welche auf die spezifischen Bedürfnisse mittelständischer Unternehmen eingehen (Kosten-Nutzen, Aufwand für die Umsetzung und den Betrieb, Einflüsse auf die Benutzerfreundlichkeit, etc.).
Vorgehen
Die Erstellung der Sicherheitsreferenzarchitektur erfolgte in einem mehrstufigen Ansatz:
- Definition der zu schützenden Umgebung: In einem ersten Schritt wurde definiert, wie die IT-Umgebung bei mittelständischen Unternehmen aussehen kann und somit was überhaupt geschützt werden soll. Dazu wurden mittels Interviews mehrere Unternehmen zum allgemeinen Aufbau und ihren Anforderungen an die IT-Umgebung befragt. Auf dieser Basis wurde die zu schützende IT-Umgebung definiert.
- Definition der zu erfüllenden Vorgaben (Controls): Damit die Massnahmen nicht beliebig gewählt werden, orientieren sich diese an den Controls des NIST CSF 2.0 (PROTECT und DETECT). Dazu wurden in einer zweiten Phase die für die Sicherheitsarchitektur relevanten Controls selektiert und als Anforderungen beschrieben.
- Erarbeiten von Sicherheitsmsassnahmen: Auf Basis der definierten IT-Umgebung und den Vorgaben aus den vorherigen beiden Schritten wurden insgesamt 32 Sicherheitsmassnahmen erarbeitet. Die Basis dazu stellen Empfehlungen nationaler und internationaler Kompetenzstellen im Bereich Cybersicherheit und international anerkannter Forschungsunternehmen in diesem Bereich dar.
- Integrieren der einzelnen Massnahmen in eine Sicherheitsreferenzarchitektur: Im letzten Schritt wurden die einzelnen Massnahmen kombiniert und in eine übergreifende Sicherheitsreferenzarchitektur gebracht, welche die Controls aus Schritt 2 gesamtheitlich abdeckt.
Die nachfolgende Abbildung zeigt die Zusammenhänge der einzelnen Teilschritte schematisch auf:
Sicherheitsmassnahmen und Referenzarchitektur
Insgesamt beinhaltet die Sicherheitsreferenzarchitektur 32 Massnahmen zum Schutz der IT-Umgebung mittelständischer Unternehmen. Die Massnahmen decken 9 unterschiedliche Themengebieten ab:
- Backup und Recovery
- Configuration Management
- Encryption
- Endpoint Protection
- Identity and Access MAnagement
- Least Privilege
- Logging and Monitoring
- Network Security
- Remote Access
Da nicht alle Unternehmen denselben Schutzbedarf benötigen, sind die Massnahmen zusätzlich in drei unterschiedliche Schutzniveaus aufgeteilt. Damit können die Massnahmen einfacher priorisiert und je nach Schutzbedarf möglicherweise auch ganz ausgelassen werden.
Die nachfolgende Tabelle enthält eine Übersicht der definierten Massnahmen.
| ID | Titel | Schutz- niveau |
|---|---|---|
| M-01 | Backup | tief |
| M-02 | Allgemeine Verwaltung von Endgeräten | tief |
| M-04 | Überwachung des Status der Endgeräte | tief |
| M-05 | Verwaltung von Mobilgeräten | tief |
| M-06 | Verschlüsseln von Wireless-Verbindungen | tief |
| M-07 | Verschlüsseln der Endgeräte | tief |
| M-08 | Einsatz verschlüsselter Protokolle (Optional) | tief |
| M-11 | Einsatz einer Endpoint Protection Lösung auf Endgeräten | tief |
| M-12 | Einsatz einer Endpoint Protection Lösung auf Servern | tief |
| M-13 | Einsatz einer verteilten Schutzlösung (Optional) | tief |
| M-14 | Einsatz einer IAM-Lösung | tief |
| M-15 | Einsatz einer IAM-Lösung in der DMZ (Optional) | tief |
| M-16 | Prüfen der Identität (Authentifizierung) | tief |
| M-17 | Prüfen der Berechtigungen (Autorisierung) | tief |
| M-20 | Verwendung separater Accounts für die Administration | tief |
| M-23 | Verwendung einer zentralen Security Monitoring Lösung | tief |
| M-24 | Überwachen vom Systemstatus | tief |
| M-25 | Unterteilung des Netzwerks in Sicherheitszonen (Basis) | tief |
| M-27 | Einsatz einer DMZ | tief |
| M-28 | Einsatz eines Web-Proxy | tief |
| M-29 | Einsatz von Firewalls mit erweiterten Schutzmassnahmen | tief |
| M-30 | Schutzmassnahmen gegenüber DoS- und DDoS-Angriffen (Optional) | tief |
| M-31 | Einsatz einer VPN-Lösung für Mitarbeitende | tief |
| M-32 | Einsatz einer VPN-Lösung für Drittparteien (Optional) | tief |
| M-03 | Erweiterte Verwaltung von Endgeräten | mittel |
| M-09 | Einsatz verschlüsselter Protokolle (Zwingend) | mittel |
| M-10 | Einsatz einer PKI | mittel |
| M-18 | Prüfen der Berechtigungen von Geräten | mittel |
| M-21 | Einschränken der Verwaltungszugriffe im Netzwerk | mittel |
| M-26 | Unterteilung des Netzwerks in Sicherheitszonen (Erweitert) | mittel |
| M-19 | Prüfen zusätzlicher Attribute beim Zugriff | hoch |
| M-22 | Verwendung von Jump Hosts zur Administration | hoch |
Werden alle Sicherheitsmassnahmen (Schutzniveau hoch) auf die zu schützende IT-Umgebung angewendet, führt dies zur Sicherheitsreferenzarchitektur in nachfolgender Abbildung:
Sicherheitsreferenzarchitektur für das Schutzniveau hoch
Fazit
Die Sicherheitsreferenzarchitektur bildet eine solide Basis für mittelständische Unternehmen, um ihre IT-Umgebung auf technischer Ebene abzusichern. Durch den Einsatz einzelner Massnahmen, welche sich anschliessend zu einer Gesamtarchitektur zusammenfügen, wird zusätzlich eine schrittweise Priorisierung und Umsetzung ermöglicht. Dies kann insbesondere dann sinnvoll sein, wenn nur limitierte Ressourcen zur Verfügung stehen. Dabei darf jedoch nicht vergessen werden, dass die technischen Massnahmen lediglich ein Teil einer umfassenden IT-Sicherheitsstrategie sind und auch die weiteren Aspekte der Informationssicherheit berücksichtigt werden müssen.
Stehen auch Sie vor der Herausforderung, Ihre IT-Umgebung mit technischen Massnahmen abzusichern und sind unsicher, wie Sie dies am Besten erreichen? Dann melden Sie sich gerne bei uns und lassen Sie sich von unseren Spezialisten beraten.
Falls Sie Interesse daran haben, die MAS-Thesis, welche die Grundlage dieser Sicherheitsreferenzarchitektur darstellt, für eigene, nicht-kommerzielle oder akademische Zwecke einzusehen, dürfen Sie sich gerne ebenfalls bei uns melden.
< zurück