Zusätzliche Gefährdungen

Aus ISMS-Ratgeber WiKi
Zur Navigation springenZur Suche springen


Zusätzliche oder spezifische Gefährdungen im BSI Standard 200-3 sind Risiken, die über die elementaren Gefährdungen hinausgehen und besondere Szenarien betreffen.

Die hier aufgelisteten zusätzlichen Gefährdungen berücksichtigen aktuelle Entwicklungen und Herausforderungen im Bereich der Informationssicherheit und des Datenschutzes in modernen Arbeitsumgebungen.

Bei Bedarf können relevante zusätzliche Gefährdungen in den eigenen Gefährdungskatalog aufgenommen werden.

G Z.1 Nutzung von Homeoffice [CIA]

Beschreibung: Die Nutzung von Homeoffice-Arbeitsplätzen kann zu einer verminderten sozialen Kontrolle führen. Dies birgt verschiedene Risiken, wie z.B. die unerkannte Nutzung von Alkohol oder Drogen während der Arbeitszeit, was die Arbeitsqualität und Sicherheit beeinträchtigen kann. Zudem besteht die Gefahr, dass Mitarbeitende ohne Absprache aus dem Ausland arbeiten, was rechtliche und sicherheitstechnische Herausforderungen mit sich bringt.

Beispiele:

  • Ein Mitarbeitender arbeitet unter Einfluss von Alkohol, was zu Fehlern in der Datenverarbeitung oder Administration führt und sicherheitskritische Systeme gefährdet.
  • Eine Mitarbeitende arbeitet unerlaubt aus einem Land mit hohem Cyberrisiko, wodurch sensible Unternehmensdaten gefährdet werden.

G Z.2 Fehlende digitale Kompetenz [CIA]

Beschreibung: Die zunehmende Digitalisierung erfordert von den Mitarbeitenden spezifische digitale Kompetenzen. Fehlende Kenntnisse im Umgang mit neuen Technologien und digitalen Tools können zu ineffizienten Arbeitsabläufen, Fehlbedienungen und Sicherheitslücken führen.

Beispiele:

  • Ein Mitarbeitender öffnet versehentlich Phishing-E-Mails, weil ihm das Wissen über solche Bedrohungen fehlt.
  • Eine Mitarbeitende speichert vertrauliche Dokumente unsicher auf einer Cloud-Plattform, die nicht den Unternehmensrichtlinien entspricht.

G Z.3 Vertraulichkeitsverlust durch smarte Geräte [C]

Beschreibung: Smarte Geräte (z.B. Sprachassistenten, IoT-Geräte) können ungewollt Informationen sammeln und übertragen, was zu einem Verlust der Vertraulichkeit führen kann. Diese Geräte sind oft nicht ausreichend gesichert und können leicht Ziel von Angriffen werden.

Beispiele:

  • Ein Sprachassistent zeichnet vertrauliche Gespräche im Büro auf und überträgt diese unverschlüsselt an einen externen Server.
  • Ein IoT-Gerät im Büro wird gehackt und dient als Einfallstor für weitere Angriffe auf das Unternehmensnetzwerk.

G Z.4 Soziale Isolation und psychische Belastungen [CIA]

Beschreibung: Längere Phasen der Arbeit im Homeoffice können zu sozialer Isolation und psychischen Belastungen bei den Mitarbeitenden führen. Dies kann sich negativ auf die Produktivität und die Sicherheit am Arbeitsplatz auswirken.

Beispiele:

  • Ein Mitarbeitender leidet unter sozialer Isolation und depressiven Verstimmungen, was seine Konzentration und Entscheidungsfähigkeit beeinträchtigt.
  • Eine Mitarbeitende überarbeitet sich im Homeoffice und macht aufgrund von Erschöpfung sicherheitskritische Fehler bei der Bedienung von IT-Systemen.

G Z.5 Unzureichende physische Sicherheitsmaßnahmen [CA]

Beschreibung: Durch die Verlagerung von Arbeitsplätzen ins Homeoffice kann es zu unzureichenden physischen Sicherheitsmaßnahmen kommen. Dies betrifft insbesondere den Schutz von IT-Geräten und vertraulichen Dokumenten vor Diebstahl oder unberechtigtem Zugriff.

Beispiele:

  • Ein Laptop mit sensiblen Unternehmensdaten wird aus dem Auto eines Mitarbeitenden gestohlen, weil dieser das Gerät ungesichert zurückgelassen hat.
  • Vertrauliche Dokumente werden im Homeoffice offen herumliegen gelassen und können von Besuchenden eingesehen werden.

G Z.6 Nutzung von IPv6 im Dual Stack [CIA]

Beschreibung: Die Nutzung von IPv6 in einem Dual-Stack-Betrieb (parallel mit IPv4) kann zu erhöhten Sicherheitsrisiken führen, da beide Protokolle gleichzeitig verwaltet werden müssen. Dies erhöht die Komplexität der Netzwerkkonfiguration und kann zu Fehlkonfigurationen und Sicherheitslücken führen.

Mögliche Ursachen:

  • Unzureichende Kenntnisse über IPv6 bei den IT-Mitarbeitenden.
  • Fehlende oder unzureichende Sicherheitsrichtlinien und -maßnahmen für IPv6.
  • Unvollständige oder fehlerhafte Netzwerksegmentierung.

Auswirkungen:

  • Erhöhte Angriffsfläche durch zusätzliche offene Ports und Dienste.
  • Höhere Wahrscheinlichkeit von Fehlkonfigurationen und Sicherheitslücken.
  • Schwierigkeiten bei der Überwachung und dem Management des Netzwerks.

Beispiele:

  • Ein Unternehmen implementiert IPv6 im Dual-Stack-Betrieb und übersieht eine fehlerhafte Konfiguration, die es Angreifern ermöglicht, unautorisierten Zugriff auf interne Systeme zu erhalten.
  • Sicherheitsmaßnahmen wie Firewalls und Intrusion-Detection-Systeme sind nur für IPv4 konfiguriert, wodurch IPv6-Traffic ungeschützt bleibt.

G Z.7 Unabgesprochener Einsatz zusätzlicher Sicherheitsprogramme [CIA]

Beschreibung: Der (unabgesprochene) Einsatz zusätzlicher (lokaler) Sicherheitsprogramme wie Virenscannern und Schwachstellenscannern kann zu einer erhöhten Komplexität und zusätzlichen Sicherheitsrisiken führen. Diese Tools müssen korrekt konfiguriert und regelmäßig aktualisiert werden, um effektiv zu sein. Eine falsche Konfiguration oder veraltete Signaturen können Sicherheitslücken schaffen oder Fehlalarme auslösen.

Mögliche Ursachen:

  • Fehlende Kenntnisse und Schulungen der IT-Mitarbeitenden im Umgang mit den Tools.
  • Unzureichende Integration der Tools in die bestehende IT-Infrastruktur.
  • Vernachlässigung regelmäßiger Updates und Wartungen der Sicherheitssoftware.

Auswirkungen:

  • Falsche Alarme und unnötige Ressourcenbelastung durch schlecht konfigurierte Scanner.
  • Sicherheitslücken durch veraltete Signaturen oder falsch konfigurierte Tools.
  • Beeinträchtigung der Systemleistung durch hohe Ressourcenbeanspruchung der Sicherheitssoftware.

Beispiele:

  • Ein eigener lokaler Virenscanner wird falsch konfiguriert, wodurch legitime Anwendungen blockiert und Sicherheitslücken übersehen werden.
  • Ein Schwachstellenscanner wird nicht regelmäßig aktualisiert, wodurch bekannte Sicherheitslücken unentdeckt bleiben und ausgenutzt werden können.

G Z.8 Nutzung von BYOD (Bring Your Own Device) [CIA]

Beschreibung: Die Nutzung von privaten Geräten der Mitarbeitenden (Bring Your Own Device, BYOD) für dienstliche Zwecke birgt erhebliche Sicherheitsrisiken. Diese Geräte sind oft nicht ausreichend gesichert und können unautorisierten Zugriff auf Unternehmensdaten und -systeme ermöglichen.

Beispiele:

  • Ein Mitarbeitender verliert sein ungeschütztes privates Smartphone, das Zugang zu Unternehmensdaten hat, wodurch sensible Informationen in falsche Hände geraten.
  • Ein BYOD-Gerät wird mit Malware infiziert, die sich anschließend im Unternehmensnetzwerk verbreitet und Schäden verursacht.

G Z.9 Verteilte Zuständigkeiten in sehr großen Organisationen [CIA]

Beschreibung: Verteilte Zuständigkeiten in sehr großen Organisationen führen zu komplexen Koordinations- und Kommunikationsprozessen. Dies kann zu einer erhöhten Anfälligkeit für Informationsverluste, Missverständnisse und ineffiziente Entscheidungsfindung führen. Die Vielzahl von Schnittstellen und die fehlende zentrale Kontrolle verstärken das Risiko von Sicherheitslücken und Verzögerungen in der Reaktion auf sicherheitsrelevante Vorfälle.

Beispiele:

  • In einem multinationalen Unternehmen sind IT-Sicherheitsaufgaben auf verschiedene Länder und Abteilungen verteilt. Durch fehlende zentrale Steuerung kommt es zu Verzögerungen und Lücken bei der Implementierung von Sicherheitsrichtlinien.
  • Eine große Behörde hat verschiedene Abteilungen mit eigenen IT-Systemen und Sicherheitsverantwortlichen. Die mangelnde Abstimmung führt dazu, dass Sicherheitsvorfälle nicht rechtzeitig gemeldet und bearbeitet werden.
  • In einem Konzern werden Sicherheitsmaßnahmen von verschiedenen Tochtergesellschaften unabhängig voneinander umgesetzt. Dadurch entstehen Inkonsistenzen und Sicherheitslücken, die Angreifende ausnutzen können.