====== 4.1 Sicherheitsarchitektur ======

Übersicht der [[.:business:sicherheit:start|PQ-Sicherheitskomponenten]].

===== Systemübersicht =====

<code>
                    Internet / Intranet
                           ↓
                    [Firewall :443]
                           ↓
┌──────────────────────────────────────────────────┐
│                   PROXY (:443)                   │
│  - TLS 1.3 Terminierung                          │
│  - Client-Zertifikat-Prüfung                     │
│  - Routing-Entscheidung                          │
└──────────────────────────────────────────────────┘
            ↓                          ↓
    [Named Pipe]                  [TCP :8443]
            ↓                          ↓
┌─────────────────────┐    ┌─────────────────────┐
│   Data Gateway      │    │        IIS          │
│   (API-Endpoint)    │    │   (andere Dienste)  │
└─────────────────────┘    └─────────────────────┘
</code>

===== Komponenten =====

^ Komponente ^ Funktion ^ Dokumentation ^
| Proxy | TLS-Terminierung, Routing | [[.:administrator:sicherheit:proxy-konfiguration|Proxy-Konfiguration]] |
| Named Pipe | Sichere lokale Kommunikation | [[.:administrator:sicherheit:named-pipes|Named Pipes]] |
| Gateway | API-Verarbeitung | [[.:administrator:konfiguration:start|Konfiguration]] |
| IIS | Fallback für andere Requests | [[.:administrator:sicherheit:iis-umleitung|IIS-Umleitung]] |
| Trust-Server | Zertifikat-Validierung | [[.:administrator:sicherheit:trust-server|Trust-Server]] |

===== Zero Trust Prinzipien =====

  * Niemals implizit vertrauen
  * Immer verifizieren
  * Minimale Rechte
  * Segmentierung

===== Regulatorischer Hintergrund =====

  * [[.:business:sicherheit:eu-regulierung|EU NIS2 und DORA]]
  * [[.:business:sicherheit:nist-standards|NIST FIPS 203/204/205]]
  * [[.:business:sicherheit:kritische-infrastruktur|KRITIS-Anforderungen]]