asyoube logo asyoube

Gefährdungsarten

Lernfeld 11: Betrieb und Sicherheit vernetzter Systeme gewährleisten

Welche grundlegenden Gefährdungskategorien gibt es in der Informationssicherheit?

Bedrohungen verstehen: Der erste Schritt zur Sicherheit

In der Informationssicherheit ist es entscheidend, die Vielfalt möglicher Gefahren zu kennen und zu ordnen. Stell dir ein großes Warenlager vor: Die Sicherheitsverantwortlichen müssen Risiken wie Feuer, Einbruch, aber auch interne Fehler wie eine falsche Lagerung berücksichtigen. Genauso müssen wir in der IT Bedrohungen kategorisieren, um wirksame Schutzmaßnahmen zu entwickeln. Diese Kategorisierung hilft uns, Schwachstellen gezielt zu analysieren und passende Abwehrstrategien zu planen. Die vier grundlegenden Gefährdungskategorien sind:

  • Höhere Gewalt (unvorhersehbare externe Ereignisse)
  • Organisatorische Mängel (Fehler in Prozessen und Strukturen)
  • Technisches Versagen (Probleme mit Hardware oder Software)
  • Menschliches Fehlverhalten (absichtliche oder unabsichtliche Handlungen)

Jede dieser Kategorien kann die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen auf unterschiedliche Weise gefährden.

Höhere Gewalt: Unkontrollierbare Ereignisse

Unter der Kategorie Höhere Gewalt (engl. Force Majeure) fassen wir Ereignisse zusammen, die außerhalb der direkten Kontrolle eines Unternehmens liegen und oft unvorhersehbar oder unabwendbar sind.

  • Typische Beispiele: Dazu gehören Naturkatastrophen wie Überschwemmungen, Brände, Stürme oder Erdbeben, aber auch weitreichende Ereignisse wie langanhaltende Stromausfälle (Blackouts) oder Pandemien.
  • Auswirkungen auf die IT-Sicherheit:
    • Verfügbarkeit: Ein Brand im Rechenzentrum führt zum sofortigen Ausfall aller Server und macht Unternehmensdienste unerreichbar.
    • Integrität: Eine Überschwemmung kann physische Schäden an Festplatten verursachen, was zu Datenverlust oder -beschädigung führt.
  • Praxisnahes Beispiel: Ein Unternehmen hat sein einziges Rechenzentrum im Keller eines Gebäudes in einer hochwassergefährdeten Region. Ein unerwartetes Hochwasser flutet die Räume und zerstört die gesamte IT-Hardware. Der Betrieb steht still, da die Verfügbarkeit der Systeme nicht mehr gegeben ist. Ohne externe Backups sind zudem die Daten der letzten Stunden oder Tage unwiederbringlich verloren, was die Integrität der Geschäftsdaten verletzt.

Organisatorische Mängel: Wenn Prozesse und Strukturen versagen

Organisatorische Mängel entstehen, wenn Prozesse, Richtlinien oder Strukturen innerhalb eines Unternehmens unzureichend sind, um die Informationssicherheit zu gewährleisten. Solche Mängel sind oft die Wurzel für technisches Versagen oder begünstigen menschliches Fehlverhalten.

  • Typische Beispiele:
    • Fehlende oder unklare Prozesse (z. B. kein standardisierter Prozess für Software-Updates oder die Datensicherung).
    • Ungenügende Schulungen der Mitarbeitenden (z. B. keine Awareness-Trainings zu Phishing).
    • Unzureichende Ressourcen (z. B. kein Budget für moderne Sicherheitssoftware).
    • Fehlende Kontrollen (z. B. keine Überprüfung von Zugriffsrechten).
  • Auswirkungen auf die IT-Sicherheit:
    • Vertraulichkeit: Wenn es keinen Prozess für die sichere Entsorgung alter Laptops gibt, könnten Festplatten mit sensiblen Daten in falsche Hände geraten.
    • Integrität und Verfügbarkeit: Ein fehlender Patch-Management-Prozess führt dazu, dass kritische Sicherheitslücken nicht geschlossen werden. Dies öffnet die Tür für Angriffe, die Daten verändern oder Systeme lahmlegen können.
  • Praxisnahes Beispiel: Ein Unternehmen hat keine klare Passwortrichtlinie. Mitarbeitende verwenden daher einfache, leicht zu erratende Passwörter wie "Firma2024!" für wichtige Systeme. Dieser organisatorische Mangel gefährdet die Vertraulichkeit aller Unternehmensdaten, da Angreifende durch einfaches Ausprobieren (Brute-Force-Angriff) leicht unbefugten Zugriff erhalten können.
dec-information-security-risk-management-analysis-types-of-threats_page1.svg

Wie äußern sich Gefährdungen durch Mensch und Technik?

Technisches Versagen: Wenn die Technik streikt

Technisches Versagen bezeichnet Mängel oder Ausfälle von Hardware- und Softwarekomponenten, die die Funktionsfähigkeit von IT-Systemen beeinträchtigen.

  • Typische Beispiele:
    • Hardware-Defekte: Ausfall von Festplatten, Servern, Netzteilen oder Netzwerk-Switches.
    • Software-Fehler (Bugs): Programmfehler in Betriebssystemen oder Anwendungen, die zu Abstürzen oder Sicherheitslücken führen.
    • Kommunikationsstörungen: Ausfall der Internetverbindung oder interner Netzwerkprobleme.
  • Auswirkungen auf die IT-Sicherheit:
    • Verfügbarkeit: Ein plötzlicher Festplattenausfall in einem Webserver macht die darauf gehostete Webseite für Kund:innen unerreichbar.
    • Integrität: Ein Softwarefehler in einer Datenbankanwendung führt dazu, dass bei einer Transaktion Kund:innendatensätze falsch geschrieben und somit beschädigt werden.
    • Vertraulichkeit: Eine Sicherheitslücke (ein Bug) in einer Webanwendung wird von Angreifenden ausgenutzt, um auf die Kund:innendatenbank zuzugreifen.
  • Praxisnahes Beispiel: In einem viel besuchten Online-Shop fällt am Freitagnachmittag der zentrale Datenbankserver wegen eines Hardware-Defekts aus. Kund:innen können keine Bestellungen mehr aufgeben, was zum Verlust der Verfügbarkeit und zu erheblichen Umsatzeinbußen führt.

Menschliches Fehlverhalten: Das größte Risiko?

Der Mensch ist oft das schwächste Glied in der Sicherheitskette. Man unterscheidet hierbei zwischen unabsichtlichem und vorsätzlichem Handeln.

  • Unabsichtliches Handeln (Menschlicher Fehler): Hier gibt es keine böse Absicht. Die Ursachen sind meist Unachtsamkeit, mangelndes Wissen oder Stress.
    • Beispiele:
      • Ein:e Administrator:in konfiguriert versehentlich eine Firewall falsch und öffnet damit einen Port zum Internet.
      • Ein:e Mitarbeiter:in klickt auf einen schädlichen Link in einer Phishing-E-Mail und infiziert das System mit Ransomware.
      • Ein:e Entwickler:in löscht versehentlich die falsche Datenbank auf dem Testsystem.
  • Vorsätzliches Handeln (Schadensabsicht): Hier handeln Personen mit der Absicht, Schaden anzurichten. Die Motive sind vielfältig und reichen von Rache über finanzielle Bereicherung bis hin zu Spionage.
    • Beispiele:
      • Sabotage: Ein:e gekündigte:r Mitarbeiter:in löscht vor dem Verlassen des Unternehmens absichtlich wichtige Projektdaten.
      • Datendiebstahl: Ein:e Insider:in kopiert eine vertrauliche Kund:innenliste, um sie an die Konkurrenz zu verkaufen.
      • Cyberangriffe: Externe Angreifer:innen verschaffen sich Zugang zum Netzwerk, um Daten zu stehlen oder Systeme zu verschlüsseln und Lösegeld zu erpressen.
  • Praxisnahes Beispiel: Ein:e Mitarbeiter:in im Vertrieb speichert eine Liste mit den umsatzstärksten Kund:innen auf einem unverschlüsselten privaten USB-Stick, um von zu Hause aus zu arbeiten (unabsichtlicher Verstoß gegen die Sicherheitsrichtlinien). Der Stick geht auf dem Heimweg verloren. Die Vertraulichkeit hochsensibler Geschäftsdaten ist nun massiv gefährdet. Würde die Person diesen Stick jedoch absichtlich an ein Konkurrenzunternehmen verkaufen, wäre dies ein Fall von vorsätzlichem Handeln mit dem Ziel der Industriespionage.
dec-information-security-risk-management-analysis-types-of-threats_page2.svg

Lernziele

  • die grundlegenden Gefährdungskategorien in der Informationssicherheit klassifizieren, indem die Kategorien Höhere Gewalt, Organisatorische Mängel, Menschliches Fehlverhalten und Technisches Versagen anhand ihrer Ursachen und typischer Beispiele voneinander unterschieden werden.
  • die Auswirkungen von Höherer Gewalt auf die IT-Sicherheit erklären, indem potenzielle Konsequenzen von Ereignissen wie Naturkatastrophen, Feuer oder Pandemien für die IT-Infrastruktur und die betriebliche Kontinuität beschrieben werden.
  • die Rolle menschlicher Faktoren als Gefährdung differenzieren, indem unabsichtliches Handeln (z.B. Fehlkonfigurationen, Unachtsamkeit) von vorsätzlichen Handlungen (z.B. Sabotage, Spionage) abgegrenzt und deren unterschiedliche Auswirkungen auf die Informationssicherheit analysiert werden.
  • die Zusammenhänge zwischen organisatorischen Mängeln, technischem Versagen und der Entstehung von Sicherheitsrisiken erklären, indem aufgezeigt wird, wie fehlende Prozesse, unzureichende Schulungen sowie Hardware- oder Softwarefehler die Schutzziele der Informationssicherheit gefährden.
🚀 Bereit für mehr?

Vertiefe dein Wissen!

Du hast die Grundlagen verstanden? Perfekt! In unserer App findest du interaktive Übungen, praktische Projekte und erweiterte Inhalte zu Gefährdungsarten.

Download on the App Store Get it on Google Play
💼 Für Unternehmen

Ab 5€/Monat • Kostenloser Test verfügbar