ISMS Copilot
ISO 27001 Glossar

Was ist eine Bedrohung in ISO 27001?

Überblick

Eine Bedrohung ist jede potenzielle Ursache eines unerwünschten Vorfalls, der zu Schäden an Ihren Informationssystemen oder Ihrer Organisation führen kann. In ISO 27001:2022 ist die Identifizierung von Bedrohungen ein grundlegender Bestandteil der Risikobewertung (Abschnitt 6.1.2) und bestimmt, welche Sicherheitsmaßnahmen Sie implementieren müssen.

Das Verständnis von Bedrohungen hilft Ihnen, die Wahrscheinlichkeit und die Auswirkungen von Risiken für Ihre Informationswerte einzuschätzen.

Bedrohungen in der Praxis

Gegenstand der Risikobewertung ist die Identifizierung von Bedrohungen, die Schwachstellen in Ihren Werten ausnutzen und Sicherheitsvorfälle verursachen könnten. Bedrohungen können sein:

  • Vorsätzlich: Geplante Aktionen von Angreifern (Hacker, böswillige Insider, Konkurrenten)

  • Versehentlich: Unbeabsichtigte Handlungen, die Schaden verursachen (Mitarbeiterfehler, Fehlkonfigurationen)

  • Umweltbedingt: Naturereignisse oder physikalische Bedingungen (Brände, Überschwemmungen, Stromausfälle)

Bedrohungen nutzen Schwachstellen aus, um Risiken zu erzeugen. Eine Schwachstelle ohne glaubwürdige Bedrohung stellt möglicherweise nur ein minimales Risiko dar, während eine Bedrohung ohne eine auszunutzende Schwachstelle keinen Schaden anrichten kann.

Kategorien von Bedrohungen

Cyber-Bedrohungen

Bedrohungen, die auf digitale Systeme und Daten abzielen:

  • Malware: Viren, Ransomware, Trojaner, Spyware

  • Phishing: Social Engineering zum Diebstahl von Zugangsdaten oder sensiblen Informationen

  • Distributed Denial of Service (DDoS): Überlastung von Systemen, um die Verfügbarkeit zu stören

  • Advanced Persistent Threats (APTs): Hochentwickelte, gezielte Angriffe

  • SQL-Injection und Web-Angriffe: Ausnutzung von Anwendungs-Schwachstellen

  • Zero-Day-Exploits: Angriffe unter Nutzung bisher unbekannter Sicherheitslücken

Beispiel: Eine Ransomware-Bedrohung könnte eine ungepatchte Server-Schwachstelle (A.8.8) ausnutzen, um geschäftskritische Daten zu verschlüsseln, was zu finanziellem Verlust und betrieblicher Unterbrechung führt.

Menschliche Bedrohungen

Bedrohungen, an denen Menschen beteiligt sind:

  • Böswillige Insider: Mitarbeiter oder Auftragnehmer, die vorsätzlich Daten stehlen oder Systeme sabotieren

  • Social Engineering: Manipulation von Benutzern zur Umgehung von Sicherheitskontrollen

  • Missbrauch von Privilegien: Autorisierte Benutzer, die ihre Zugriffsrechte überschreiten

  • Unbeabsichtigte Fehler: Versehentliches Löschen von Daten, Fehlkonfigurationen oder das Senden sensibler Informationen an falsche Empfänger

Beispiel: Ein Mitarbeiter, der auf eine Phishing-E-Mail klickt, könnte Anmeldedaten preisgeben, die den unbefugten Zugriff auf Kundendaten ermöglichen (entgegengewirkt durch Sensibilisierungsschulungen A.6.3 und MFA A.5.17).

Physische Bedrohungen

Bedrohungen für physische Werte und Einrichtungen:

  • Diebstahl: Stehlen von Laptops, Servern, Speichermedien

  • Unbefugter Zutritt: Eindringlinge, die geschützte Bereiche betreten

  • Vandalismus: Vorsätzliche Beschädigung von Ausrüstung

  • Naturkatastrophen: Erdbeben, Überschwemmungen, Brände

  • Infrastrukturausfälle: Stromausfälle, Klimaanlagendefekte, Wasserschäden

Beispiel: Ein Brand in einem Rechenzentrum bedroht die Serververfügbarkeit (adressiert durch physische Sicherheitsmaßnahmen A.7.1-A.7.14 und Backup-Verfahren A.8.13).

Bedrohungen durch Dritte

Bedrohungen durch Lieferanten, Partner und Dienstleister:

  • Lieferkettenangriffe: Kompromittierte Software oder Hardware von Anbietern

  • Ausfälle von Cloud-Diensten: Provider-Ausfälle oder Sicherheitsverletzungen

  • Fahrlässigkeit von Auftragnehmern: Dritte, die Sicherheitskontrollen nicht einhalten

Beispiel: Eine Sicherheitsverletzung bei einem Cloud-Anbieter, die Kundendaten offenlegt (abgemildert durch Sicherheitsüberprüfungen von Lieferanten A.5.19-A.5.23 und vertragliche Sicherheitsanforderungen).

Bedrohungen entwickeln sich ständig weiter. Ihre Risikobewertung sollte regelmäßig überprüft werden (in geplanten Intervallen und bei signifikanten Änderungen), um neue Bedrohungen wie aufkommende Malware-Varianten oder geopolitische Risiken zu identifizieren.

Bedrohungsanalyse in der Risikobewertung

Bei der Durchführung einer Risikobewertung (Abschnitt 6.1.2) bewerten Sie Bedrohungen unter Berücksichtigung von:

  • Bedrohungsquelle: Wer oder was die Bedrohung verursachen könnte (Cyberkriminelle, Konkurrenten, Naturereignisse)

  • Motivation: Warum sie Ihre Organisation ins Visier nehmen würden (finanzieller Gewinn, Spionage, Störung)

  • Fähigkeit: Ihr Kenntnisstand und ihre Ressourcen

  • Wahrscheinlichkeit: Wahrscheinlichkeit, dass die Bedrohung eintritt und eine Schwachstelle ausnutzt

Beispielhaftes Bedrohungsszenario:

  • Wert: Kundenzahlungsdatenbank

  • Schwachstelle: Schwache Passwortrichtlinie (keine MFA)

  • Bedrohung: Externer Hacker mit Absicht auf finanziellen Gewinn

  • Risiko: Unbefugter Zugriff auf Zahlungsdaten, was zu einer Datenpanne und behördlichen Geldbußen führt

  • Behandlung: Implementierung von MFA (A.5.17), starke Passwortrichtlinie (A.5.17) und Verschlüsselung (A.8.24)

Threat Intelligence (Bedrohungslage)

ISO 27001:2022 Anhang A enthält mit A.5.7 (Threat Intelligence) eine neue Maßnahme, die Organisationen dazu verpflichtet, Bedrohungsinformationen zu sammeln und zu analysieren, um relevante Bedrohungen zu verstehen.

Quellen für Threat Intelligence:

  • Nationale Cybersicherheitsbehörden (BSI, NCSC, CERT)

  • Branchenspezifische Informationsaustauschgruppen (ISACs)

  • Kommerzielle Threat Feeds und Sicherheitsanbieter

  • Dark-Web-Überwachungsdienste

  • Vorfallberichte von Partnerorganisationen

Nutzen Sie ISMS Copilot, um relevante Bedrohungen für Ihre Branche und Werte zu identifizieren, Bedrohungsszenarien für Risikobewertungen zu generieren oder Bedrohungen den entsprechenden Anhang-A-Maßnahmen zuzuordnen.

Bedrohung vs. Schwachstelle vs. Risiko

Diese Begriffe hängen zusammen, sind aber verschieden:

  • Bedrohung: Die potenzielle Ursache eines Vorfalls (z. B. Ransomware-Angriff)

  • Schwachstelle: Eine Schwachstelle, die ausgenutzt werden kann (z. B. ungepatchte Software)

  • Risiko: Die Kombination aus Bedrohung, Schwachstelle, Wahrscheinlichkeit und Auswirkung (z. B. hohes Risiko durch Ransomware, die ungepatchte Server verschlüsselt und Betriebsunterbrechungen verursacht)

Maßnahmen adressieren Risiken durch:

  • Reduzierung von Schwachstellen (z. B. Patch-Management A.8.8)

  • Erkennung oder Blockierung von Bedrohungen (z. B. Schutz vor Malware A.8.7)

  • Begrenzung der Auswirkungen, wenn eine Bedrohung erfolgreich ist (z. B. Backups A.8.13)

Häufige Bedrohungen nach Branche

Finanzdienstleistungen

Advanced Persistent Threats, Phishing auf Kundendaten, DDoS-Angriffe, Insiderhandel, regulatorische Kontrolle.

Gesundheitswesen

Ransomware, die auf Patientensysteme abzielt, Diebstahl von Krankenakten, Missbrauch des Insiderzugriffs, Schwachstellen in medizinischen Geräten.

Einzelhandel/E-Commerce

Diebstahl von Zahlungskartendaten, Credential Stuffing, Lieferkettenangriffe, DDoS während der Verkaufsspitzen, betrügerische Transaktionen.

SaaS/Technologie

API-Missbrauch, Kontoübernahmen, Datenpannen, Insider-Bedrohungen, Cloud-Fehlkonfigurationen, Zero-Day-Exploits.

Dokumentieren Sie identifizierte Bedrohungen in Ihrem Risikoregister und verknüpfen Sie jede Bedrohung mit Werten, Schwachstellen und ausgewählten Maßnahmen. Aktualisieren Sie das Register, wenn neue Bedrohungen auftauchen.

Verwandte Begriffe

War das hilfreich?