Zusätzliche Gefährdungen: Unterschied zwischen den Versionen

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
Zeile 118: Zeile 118:
* Eine große Behörde hat verschiedene Abteilungen mit eigenen IT-Systemen und Sicherheitsverantwortlichen. Die mangelnde Abstimmung führt dazu, dass Sicherheitsvorfälle nicht rechtzeitig gemeldet und bearbeitet werden.
* Eine große Behörde hat verschiedene Abteilungen mit eigenen IT-Systemen und Sicherheitsverantwortlichen. Die mangelnde Abstimmung führt dazu, dass Sicherheitsvorfälle nicht rechtzeitig gemeldet und bearbeitet werden.
* In einem Konzern werden Sicherheitsmaßnahmen von verschiedenen Tochtergesellschaften unabhängig voneinander umgesetzt. Dadurch entstehen Inkonsistenzen und Sicherheitslücken, die Angreifende ausnutzen können.
* In einem Konzern werden Sicherheitsmaßnahmen von verschiedenen Tochtergesellschaften unabhängig voneinander umgesetzt. Dadurch entstehen Inkonsistenzen und Sicherheitslücken, die Angreifende ausnutzen können.
=== Unzureichende Betriebsdokumentation [IA] ===
Die Pflege der Betriebsdokumentation ist von entscheidender Bedeutung für die Aufrechterhaltung der Informationssicherheit und den effizienten Betrieb einer Organisation. Durch regelmäßige Aktualisierung und sorgfältige Pflege der Dokumentation können Sicherheitslücken geschlossen, Ausfallzeiten minimiert und gesetzliche Anforderungen erfüllt werden.
Unzureichende Pflege der Betriebsdokumentation stellt eine erhebliche Gefährdung für die Informationssicherheit und den reibungslosen Betrieb einer Organisation dar. Betriebsdokumentationen enthalten wichtige Informationen über IT-Systeme, Netzwerkinfrastrukturen, Sicherheitsmaßnahmen und betriebliche Abläufe. Wenn diese Dokumentationen nicht regelmäßig aktualisiert und korrekt geführt werden, kann dies zu gravierenden Problemen führen.
Viele Anforderungen an die Betriebsdokumentation werden in der Praxis häufig nicht erfüllt, da sie im betrieblichen Alltag untergehen und die personellen Ressourcen nicht vorhanden sind.
'''Beispiele:'''
* Wenn Dokumentationen zu Sicherheitskonfigurationen und -richtlinien nicht aktuell gehalten werden, besteht die Gefahr, dass veraltete und unsichere Einstellungen bestehen bleiben. Beispielsweise könnten Firewall-Regeln oder Zugangskontrollen nicht mehr den aktuellen Bedrohungen entsprechen, was das Risiko von Sicherheitsvorfällen erhöht.
* Unzureichend gepflegte Dokumentationen können dazu führen, dass bei Störungen und Ausfällen die Fehlerbehebung verzögert wird. Fehlende oder veraltete Anleitungen und Protokolle machen es schwieriger, Probleme schnell zu identifizieren und zu beheben. Dies kann zu längeren Ausfallzeiten und erhöhten Betriebskosten führen.
* Wenn neue Mitarbeitende keine vollständige und aktuelle Betriebsdokumentation vorfinden, sind sie auf das Wissen ihrer Vorgänger/innen angewiesen, das oft nicht vollständig übermittelt wird. Dies kann zu Verständnislücken und Fehlern führen. Beispielsweise könnten wichtige Systemupdates oder Wartungsaufgaben übersehen werden, was die Systemsicherheit beeinträchtigt.
* In vielen Branchen sind Unternehmen verpflichtet, umfassende und aktuelle Dokumentationen zu führen, um gesetzlichen und regulatorischen Anforderungen gerecht zu werden. Unzureichende Dokumentation kann dazu führen, dass diese Anforderungen nicht erfüllt werden, was rechtliche Konsequenzen und Bußgelder nach sich ziehen kann.


[[Kategorie:Kurzartikel]]
[[Kategorie:Kurzartikel]]

Version vom 18. Juli 2024, 17:50 Uhr


Zusätzliche oder spezifische Gefährdungen im BSI Standard 200-3 sind Risiken, die über die elementaren Gefährdungen hinausgehen und besondere Szenarien betreffen.

Die hier aufgelisteten Beispiele für zusätzliche Gefährdungen berücksichtigen aktuelle Entwicklungen und Herausforderungen im Bereich der Informationssicherheit und des Datenschutzes in modernen Arbeitsumgebungen.

Bei Bedarf können relevante zusätzliche Gefährdungen in den eigenen Gefährdungskatalog aufgenommen werden.

Nutzung von Homeoffice [CIA]

Beschreibung: Homeoffice ermöglicht Flexibilität und verbessert die Work-Life-Balance der Mitarbeitenden, was zu höherer Zufriedenheit und Produktivität führen kann. Darüber hinaus ist es in Krisensituationen wie Pandemien vorteilhaft, um den Geschäftsbetrieb aufrechtzuerhalten und die Gesundheit der Mitarbeitenden zu schützen. Es gibt jedoch auch mögliche Nachteile, die nicht außer Acht gelassen werden dürfen.

Die Nutzung von Homeoffice-Arbeitsplätzen kann auch zu weniger sozialer Kontrolle, Isolation und psychischem Stress führen. Dies birgt verschiedene Risiken, wie z.B. den unerkannten Konsum von Alkohol oder Drogen während der Arbeitszeit, was die Qualität und Sicherheit der Arbeit beeinträchtigen kann. Darüber hinaus besteht die Gefahr, dass Beschäftigte ohne Absprache aus dem Ausland arbeiten, was rechtliche und sicherheitstechnische Herausforderungen mit sich bringt.

Beispiele:

  • Vertrauliche Unterlagen liegen im Homeoffice offen und können von Besuchern eingesehen werden.
  • Eine Mitarbeitende arbeitet unerlaubt aus einem Land mit hohem Cyberrisiko, wodurch sensible Unternehmensdaten gefährdet werden.
  • Ein Mitarbeitender arbeitet unter Einfluss von Alkohol, was zu Fehlern in der Datenverarbeitung führt und sicherheitskritische Systeme gefährdet.
  • Eine Mitarbeitende überarbeitet sich im Homeoffice durch die Dopppelbelastung und fehlende Trennnung von Familie und Arbeit und macht aufgrund von Erschöpfung sicherheitskritische Fehler bei der Bedienung von IT-Systemen.
  • Ein Mitarbeitender leidet unter sozialer Isolation und depressiven Verstimmungen, was seine Konzentration und Entscheidungsfähigkeit beeinträchtigt.

Fehlende digitale Kompetenz [CIA]

Beschreibung: Die zunehmende Digitalisierung erfordert von den Mitarbeitenden spezifische digitale Kompetenzen. Fehlende Kenntnisse im Umgang mit neuen Technologien und digitalen Tools können zu ineffizienten Arbeitsabläufen, Fehlbedienungen und Sicherheitslücken führen.

Beispiele:

  • Ein Mitarbeitender öffnet versehentlich Phishing-E-Mails, weil ihm das Wissen über solche Bedrohungen fehlt.
  • Eine Mitarbeitende speichert vertrauliche Dokumente unsicher auf einer Cloud-Plattform, die nicht den Organisationsrichtlinien entspricht.

Vertraulichkeitsverlust durch smarte Geräte [C]

Beschreibung: Smarte Geräte, wie Sprachassistenten, intelligente Lautsprecher, Wearables und IoT-Geräte, bieten zahlreiche Vorteile. Sie erhöhen den Komfort und die Effizienz im Alltag und im Beruf, indem sie Routineaufgaben automatisieren, Energie sparen und Echtzeitinformationen liefern. Darüber hinaus ermöglichen sie eine nahtlose Integration verschiedener Dienste und verbessern die Konnektivität und Kommunikation.

Smarte Geräte können aber auch ungewollt Informationen sammeln und übertragen, was zu einem Verlust der Vertraulichkeit führen kann. Diese Geräte sind oft nicht ausreichend gesichert und können leicht Ziel von Angriffen werden.

  • Smarte Geräte sammeln und übertragen kontinuierlich Daten. Ohne ausreichende Verschlüsselung können diese Daten während der Übertragung abgefangen werden.
  • Gespeicherte Daten auf den Geräten oder in der Cloud sind ebenfalls anfällig für unbefugten Zugriff, wenn keine angemessenen Sicherheitsmaßnahmen implementiert sind.
  • Viele smarte Geräte weisen schwache oder gar keine Sicherheitsstandards auf, was sie zu attraktiven Zielen für Angreifer macht.
  • Firmware-Updates und Sicherheitspatches werden oft vernachlässigt oder nicht zeitnah durchgeführt, wodurch bekannte Schwachstellen bestehen bleiben.
  • Schwache oder voreingestellte Passwörter und fehlende Zwei-Faktor-Authentifizierung erhöhen das Risiko, dass Unbefugte Zugriff auf die Geräte und die darauf gespeicherten Daten erhalten.
  • Wenn smarte Geräte in ein Unternehmensnetzwerk integriert sind, können sie als Einfallstor für Angriffe dienen, die das gesamte Netzwerk kompromittieren.
  • Unzureichende Segmentierung und Kontrolle der Netzwerkzugriffe erhöhen das Risiko eines Vertraulichkeitsverlusts.

Beispiele:

  • Ein Sprachassistent zeichnet vertrauliche Gespräche im Homeoffice auf und überträgt diese unverschlüsselt an einen externen Server.
  • Ein IoT-Gerät im Büro wird gehackt und dient als Einfallstor für weitere Angriffe auf das Unternehmensnetzwerk.
  • Eine smarte Überwachungskamera, im Wohnhaus eines Mitarbeitenden, senden Live-Videos über das Internet an einen Cloud-Server. Wenn diese Kamera nicht richtig gesichert ist, können Angreifende auf die Video-Feeds zugreifen und sensible Informationen über die Aktivitäten des Mitarbeitenden erlangen.

Unzureichende physische Sicherheitsmaßnahmen [CA]

Beschreibung: Durch die Verlagerung von Arbeitsplätzen ins Homeoffice oder angemieteten Co-Working Space kann es zu unzureichenden physischen Sicherheitsmaßnahmen kommen. Dies betrifft insbesondere den Schutz von IT-Geräten und vertraulichen Dokumenten vor Diebstahl oder unberechtigtem Zugriff.

Beispiele:

  • Bei einem Einbruch in die unzureichend gesicherte Wohnung eines Mitarbeitenden wird ein Laptop und Unterlagen mit sensiblen Unternehmensdaten gestohlen.
  • Vertrauliche Dokumente werden im Co-Working Space offen herumliegen gelassen und können von Besuchenden eingesehen werden.

Nutzung von IPv6 im Dual Stack [CIA]

Beschreibung: Die Nutzung von IPv6 in einem Dual-Stack-Betrieb (parallel mit IPv4) kann zu erhöhten Sicherheitsrisiken führen, da beide Protokolle gleichzeitig verwaltet werden müssen. Dies erhöht die Komplexität der Netzwerkkonfiguration und kann zu Fehlkonfigurationen und Sicherheitslücken führen.

Mögliche Ursachen:

  • Unzureichende Kenntnisse über IPv6 bei den IT-Mitarbeitenden.
  • Fehlende oder unzureichende Sicherheitsrichtlinien und -maßnahmen für IPv6.
  • Unvollständige oder fehlerhafte Netzwerksegmentierung.

Auswirkungen:

  • Erhöhte Angriffsfläche durch zusätzliche offene Ports und Dienste.
  • Höhere Wahrscheinlichkeit von Fehlkonfigurationen und Sicherheitslücken.
  • Schwierigkeiten bei der Überwachung und dem Management des Netzwerks.

Beispiele:

  • Ein Unternehmen implementiert IPv6 im Dual-Stack-Betrieb und übersieht eine fehlerhafte Konfiguration, die es Angreifern ermöglicht, unautorisierten Zugriff auf interne Systeme zu erhalten.
  • Sicherheitsmaßnahmen wie Firewalls und Intrusion-Detection-Systeme sind nur für IPv4 konfiguriert, wodurch IPv6-Traffic ungeschützt bleibt.

Unabgesprochener Einsatz zusätzlicher Sicherheitsprogramme [CIA]

Beschreibung: Der (unabgesprochene) Einsatz zusätzlicher (lokaler) Sicherheitsprogramme wie Virenscannern und Schwachstellenscannern kann zu einer erhöhten Komplexität und zusätzlichen Sicherheitsrisiken führen. Diese Tools müssen korrekt konfiguriert und regelmäßig aktualisiert werden, um effektiv zu sein. Eine falsche Konfiguration oder veraltete Signaturen können Sicherheitslücken schaffen oder Fehlalarme auslösen.

Das können Mitarbeitende sein, die solche Software auf ihren Clients installieren (insbesodere bei BYOD), weil sie glauben, damit die Sicherheit zu erhöhen, das können lokale Server sein, die dezentral z.B. in Labors betrieben werden, oder Appliances, die vom Hersteller installiert und vorkonfiguriert mit solchen Sicherheitstools ausgeliefert werden.

Mögliche Ursachen:

  • Fehlende Kenntnisse und Schulungen der IT-Mitarbeitenden im Umgang mit den Tools.
  • Unzureichende Integration der Tools in die bestehende IT-Infrastruktur.
  • Vernachlässigung regelmäßiger Updates und Wartungen der Sicherheitssoftware.

Auswirkungen:

  • Falsche Alarme und unnötige Ressourcenbelastung durch schlecht konfigurierte Scanner.
  • Sicherheitslücken durch veraltete Signaturen oder falsch konfigurierte Tools.
  • Beeinträchtigung der Systemleistung durch hohe Ressourcenbeanspruchung der Sicherheitssoftware.

Beispiele:

  • Ein eigener lokaler Virenscanner wird falsch konfiguriert, wodurch legitime Anwendungen blockiert und Sicherheitslücken übersehen werden.
  • Ein Schwachstellenscanner wird nicht regelmäßig aktualisiert, wodurch bekannte Sicherheitslücken unentdeckt bleiben und ausgenutzt werden können.
  • Ein unabgesprochen installierter Schwachstellenscanner scannt das Netz und wird von den zentralen Systemen als Angreifer erkannt oder er beeiträchtigt die Funktion anderer Systeme.

Nutzung von BYOD (Bring Your Own Device) [CIA]

Beschreibung: BYOD (Bring Your Own Device) bietet Flexibilität und Komfort, da Mitarbeitende ihre eigenen, vertrauten Geräte nutzen können, was die Produktivität und Zufriedenheit steigern kann. Zudem reduziert BYOD die Anschaffungskosten für Unternehmen, da keine zusätzlichen Geräte bereitgestellt werden müssen. Die Nutzung von privaten Geräten der Mitarbeitenden für dienstliche Zwecke birgt jedoch auch erhebliche Sicherheitsrisiken. Diese Geräte sind oft nicht ausreichend gesichert und können unautorisierten Zugriff auf Unternehmensdaten und -systeme ermöglichen.

Beispiele:

  • Ein Mitarbeitender verliert sein ungeschütztes privates Smartphone, das Zugang zu Unternehmensdaten hat, wodurch sensible Informationen in falsche Hände geraten.
  • Ein BYOD-Gerät wird mit Malware infiziert, die sich anschließend im Unternehmensnetzwerk verbreitet und Schäden verursacht.

Verteilte Zuständigkeiten in sehr großen Organisationen [CIA]

Beschreibung: Verteilte Zuständigkeiten in sehr großen Organisationen führen zu komplexen Koordinations- und Kommunikationsprozessen. Dies kann zu einer erhöhten Anfälligkeit für Informationsverluste, Missverständnisse und ineffiziente Entscheidungsfindung führen. Die Vielzahl von Schnittstellen und die fehlende zentrale Kontrolle verstärken das Risiko von Sicherheitslücken und Verzögerungen in der Reaktion auf sicherheitsrelevante Vorfälle.

Beispiele:

  • In einem multinationalen Unternehmen sind IT-Sicherheitsaufgaben auf verschiedene Länder und Abteilungen verteilt. Durch fehlende zentrale Steuerung kommt es zu Verzögerungen und Lücken bei der Implementierung von Sicherheitsrichtlinien.
  • Eine große Behörde hat verschiedene Abteilungen mit eigenen IT-Systemen und Sicherheitsverantwortlichen. Die mangelnde Abstimmung führt dazu, dass Sicherheitsvorfälle nicht rechtzeitig gemeldet und bearbeitet werden.
  • In einem Konzern werden Sicherheitsmaßnahmen von verschiedenen Tochtergesellschaften unabhängig voneinander umgesetzt. Dadurch entstehen Inkonsistenzen und Sicherheitslücken, die Angreifende ausnutzen können.

Unzureichende Betriebsdokumentation [IA]

Die Pflege der Betriebsdokumentation ist von entscheidender Bedeutung für die Aufrechterhaltung der Informationssicherheit und den effizienten Betrieb einer Organisation. Durch regelmäßige Aktualisierung und sorgfältige Pflege der Dokumentation können Sicherheitslücken geschlossen, Ausfallzeiten minimiert und gesetzliche Anforderungen erfüllt werden.

Unzureichende Pflege der Betriebsdokumentation stellt eine erhebliche Gefährdung für die Informationssicherheit und den reibungslosen Betrieb einer Organisation dar. Betriebsdokumentationen enthalten wichtige Informationen über IT-Systeme, Netzwerkinfrastrukturen, Sicherheitsmaßnahmen und betriebliche Abläufe. Wenn diese Dokumentationen nicht regelmäßig aktualisiert und korrekt geführt werden, kann dies zu gravierenden Problemen führen.

Viele Anforderungen an die Betriebsdokumentation werden in der Praxis häufig nicht erfüllt, da sie im betrieblichen Alltag untergehen und die personellen Ressourcen nicht vorhanden sind.

Beispiele:

  • Wenn Dokumentationen zu Sicherheitskonfigurationen und -richtlinien nicht aktuell gehalten werden, besteht die Gefahr, dass veraltete und unsichere Einstellungen bestehen bleiben. Beispielsweise könnten Firewall-Regeln oder Zugangskontrollen nicht mehr den aktuellen Bedrohungen entsprechen, was das Risiko von Sicherheitsvorfällen erhöht.
  • Unzureichend gepflegte Dokumentationen können dazu führen, dass bei Störungen und Ausfällen die Fehlerbehebung verzögert wird. Fehlende oder veraltete Anleitungen und Protokolle machen es schwieriger, Probleme schnell zu identifizieren und zu beheben. Dies kann zu längeren Ausfallzeiten und erhöhten Betriebskosten führen.
  • Wenn neue Mitarbeitende keine vollständige und aktuelle Betriebsdokumentation vorfinden, sind sie auf das Wissen ihrer Vorgänger/innen angewiesen, das oft nicht vollständig übermittelt wird. Dies kann zu Verständnislücken und Fehlern führen. Beispielsweise könnten wichtige Systemupdates oder Wartungsaufgaben übersehen werden, was die Systemsicherheit beeinträchtigt.
  • In vielen Branchen sind Unternehmen verpflichtet, umfassende und aktuelle Dokumentationen zu führen, um gesetzlichen und regulatorischen Anforderungen gerecht zu werden. Unzureichende Dokumentation kann dazu führen, dass diese Anforderungen nicht erfüllt werden, was rechtliche Konsequenzen und Bußgelder nach sich ziehen kann.