Schutz des Verzeichnis für Bilder bei Drupal 8

Die 600 ist in jedem Fall für Verzeichnisse falsch. Damit ein Prozess in einem Verzeichnis auf dort liegende Dateien zugreifen kann, muß er Execute-Rechte (also die 1) gesetzt haben. Dann hängt es davon ab, ob der Webserver mit Owner oder mit Grupenrechten läuft. Dir korrekten Rechten wären dann 755 oder 775.
Bei der .htaccess-Datei solltest Du dich am files-Verzeichnis orientieren.

Danke für die schnelle Rückmeldung - habe die Rechte jetzt auf 775 gesetzt aber die Fehlermeldung bleibt mit Hinweis: Informationen zur empfohlenen .htaccess-Datei, die zum Verzeichnis hinzugefügt werden sollte, um Schutz gegen die Ausführung von beliebigem Code zu bieten, finden Sie unter https://www.drupal.org/SA-CORE-2013-003.

Meine .htaccess aktuell:
# Deny all requests from Apache 2.4+.

Require all denied

# Turn off all options we don't need.
Options None
Options +FollowSymLinks

# Set the catch-all handler to prevent scripts from being executed.
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2006_006

# Override the handler again if we're run later in the evaluation list.
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2013_003

# If we know how to do it safely, disable the PHP engine entirely.

php_flag engine off