Definition und Funktionsweise:
Defense-in-Depth ist ein Grundprinzip der Cybersicherheit, das aus dem Militärwesen stammt. Es besagt, dass ein System nicht nur durch eine einzige Barriere (z. B. eine zentrale Firewall am Werkstor) geschützt werden darf. Stattdessen werden mehrere Sicherheitsschichten („Zwiebelschalenprinzip“) um das kritische Asset – in unserem Fall die SPS oder die Maschine – gelegt.
Relevanz für SPS und Automatisierungstechnik:
- IEC 62443: Defense-in-Depth ist das Kernkonzept der IEC 62443. Für den Maschinenbau bedeutet dies eine Kombination aus physischer Sicherheit (Schaltschrankschlüssel), Netzwerksicherheit (Segmentierung, Firewalls), Computersicherheit (Virenscanner auf dem Engineering-PC) und Anwendungssicherheit (Passwortschutz direkt im SPS-Projekt).
- Resilienz gegen Angriffe: Gelingt es einem Angreifer (oder Schadsoftware) das Office-Netzwerk zu durchbrechen, stoppt ihn die nächste Schicht (DMZ). Überwindet er diese, muss er immer noch die maschinenlokale Firewall und die Geräteauthentifizierung der SPS knacken.
→ Siehe auch: IEC 62443, Netzwerksegmentierung, Zones and Conduits

