Zusätzliche Gefährdungen
Zusätzliche oder spezifische Gefährdungen im BSI Standard 200-3 sind Risiken, die über die elementaren Gefährdungen hinausgehen und besondere Szenarien betreffen.
Die hier aufgelisteten Beispiele für zusätzliche Gefährdungen berücksichtigen aktuelle Entwicklungen und Herausforderungen im Bereich der Informationssicherheit und des Datenschutzes in modernen Arbeitsumgebungen.
Bei Bedarf können relevante zusätzliche Gefährdungen in den eigenen Gefährdungskatalog aufgenommen werden.
G Z.1 Nutzung von Homeoffice [CIA]
Beschreibung: Homeoffice ermöglicht Flexibilität und verbessert die Work-Life-Balance der Mitarbeitenden, was zu höherer Zufriedenheit und Produktivität führen kann. Darüber hinaus ist es in Krisensituationen wie Pandemien vorteilhaft, um den Geschäftsbetrieb aufrechtzuerhalten und die Gesundheit der Mitarbeitenden zu schützen. Es gibt jedoch auch mögliche Nachteile, die nicht außer Acht gelassen werden dürfen.
Die Nutzung von Homeoffice-Arbeitsplätzen kann auch zu weniger sozialer Kontrolle, Isolation und psychischem Stress führen. Dies birgt verschiedene Risiken, wie z.B. den unerkannten Konsum von Alkohol oder Drogen während der Arbeitszeit, was die Qualität und Sicherheit der Arbeit beeinträchtigen kann. Darüber hinaus besteht die Gefahr, dass Beschäftigte ohne Absprache aus dem Ausland arbeiten, was rechtliche und sicherheitstechnische Herausforderungen mit sich bringt.
Beispiele:
- Vertrauliche Unterlagen liegen im Homeoffice offen und können von Besuchern eingesehen werden.
- Eine Mitarbeitende arbeitet unerlaubt aus einem Land mit hohem Cyberrisiko, wodurch sensible Unternehmensdaten gefährdet werden.
- Ein Mitarbeitender arbeitet unter Einfluss von Alkohol, was zu Fehlern in der Datenverarbeitung führt und sicherheitskritische Systeme gefährdet.
- Eine Mitarbeitende überarbeitet sich im Homeoffice durch die Dopppelbelastung und fehlende Trennnung von Familie und Arbeit und macht aufgrund von Erschöpfung sicherheitskritische Fehler bei der Bedienung von IT-Systemen.
- Ein Mitarbeitender leidet unter sozialer Isolation und depressiven Verstimmungen, was seine Konzentration und Entscheidungsfähigkeit beeinträchtigt.
G Z.2 Fehlende digitale Kompetenz [CIA]
Beschreibung: Die zunehmende Digitalisierung erfordert von den Mitarbeitenden spezifische digitale Kompetenzen. Fehlende Kenntnisse im Umgang mit neuen Technologien und digitalen Tools können zu ineffizienten Arbeitsabläufen, Fehlbedienungen und Sicherheitslücken führen.
Beispiele:
- Ein Mitarbeitender öffnet versehentlich Phishing-E-Mails, weil ihm das Wissen über solche Bedrohungen fehlt.
- Eine Mitarbeitende speichert vertrauliche Dokumente unsicher auf einer Cloud-Plattform, die nicht den Organisationsrichtlinien entspricht.
G Z.3 Vertraulichkeitsverlust durch smarte Geräte [C]
Beschreibung: Smarte Geräte (z.B. Sprachassistenten, IoT-Geräte) können ungewollt Informationen sammeln und übertragen, was zu einem Verlust der Vertraulichkeit führen kann. Diese Geräte sind oft nicht ausreichend gesichert und können leicht Ziel von Angriffen werden.
Beispiele:
- Ein Sprachassistent zeichnet vertrauliche Gespräche im Homeoffice auf und überträgt diese unverschlüsselt an einen externen Server.
- Ein IoT-Gerät im Büro wird gehackt und dient als Einfallstor für weitere Angriffe auf das Unternehmensnetzwerk.
G Z.4 Unzureichende physische Sicherheitsmaßnahmen [CA]
Beschreibung: Durch die Verlagerung von Arbeitsplätzen ins Homeoffice oder angemieteten Co-Working Space kann es zu unzureichenden physischen Sicherheitsmaßnahmen kommen. Dies betrifft insbesondere den Schutz von IT-Geräten und vertraulichen Dokumenten vor Diebstahl oder unberechtigtem Zugriff.
Beispiele:
- Bei einem Einbruch in die unzureichend gesicherte Wohnung eines Mitarbeitenden wird ein Laptop und Unterlagen mit sensiblen Unternehmensdaten gestohlen.
- Vertrauliche Dokumente werden im Homeoffice oder Co-Working Space offen herumliegen gelassen und können von Besuchenden eingesehen werden.
G Z.5 Nutzung von IPv6 im Dual Stack [CIA]
Beschreibung: Die Nutzung von IPv6 in einem Dual-Stack-Betrieb (parallel mit IPv4) kann zu erhöhten Sicherheitsrisiken führen, da beide Protokolle gleichzeitig verwaltet werden müssen. Dies erhöht die Komplexität der Netzwerkkonfiguration und kann zu Fehlkonfigurationen und Sicherheitslücken führen.
Mögliche Ursachen:
- Unzureichende Kenntnisse über IPv6 bei den IT-Mitarbeitenden.
- Fehlende oder unzureichende Sicherheitsrichtlinien und -maßnahmen für IPv6.
- Unvollständige oder fehlerhafte Netzwerksegmentierung.
Auswirkungen:
- Erhöhte Angriffsfläche durch zusätzliche offene Ports und Dienste.
- Höhere Wahrscheinlichkeit von Fehlkonfigurationen und Sicherheitslücken.
- Schwierigkeiten bei der Überwachung und dem Management des Netzwerks.
Beispiele:
- Ein Unternehmen implementiert IPv6 im Dual-Stack-Betrieb und übersieht eine fehlerhafte Konfiguration, die es Angreifern ermöglicht, unautorisierten Zugriff auf interne Systeme zu erhalten.
- Sicherheitsmaßnahmen wie Firewalls und Intrusion-Detection-Systeme sind nur für IPv4 konfiguriert, wodurch IPv6-Traffic ungeschützt bleibt.
G Z.6 Unabgesprochener Einsatz zusätzlicher Sicherheitsprogramme [CIA]
Beschreibung: Der (unabgesprochene) Einsatz zusätzlicher (lokaler) Sicherheitsprogramme wie Virenscannern und Schwachstellenscannern kann zu einer erhöhten Komplexität und zusätzlichen Sicherheitsrisiken führen. Diese Tools müssen korrekt konfiguriert und regelmäßig aktualisiert werden, um effektiv zu sein. Eine falsche Konfiguration oder veraltete Signaturen können Sicherheitslücken schaffen oder Fehlalarme auslösen.
Mögliche Ursachen:
- Fehlende Kenntnisse und Schulungen der IT-Mitarbeitenden im Umgang mit den Tools.
- Unzureichende Integration der Tools in die bestehende IT-Infrastruktur.
- Vernachlässigung regelmäßiger Updates und Wartungen der Sicherheitssoftware.
Auswirkungen:
- Falsche Alarme und unnötige Ressourcenbelastung durch schlecht konfigurierte Scanner.
- Sicherheitslücken durch veraltete Signaturen oder falsch konfigurierte Tools.
- Beeinträchtigung der Systemleistung durch hohe Ressourcenbeanspruchung der Sicherheitssoftware.
Beispiele:
- Ein eigener lokaler Virenscanner wird falsch konfiguriert, wodurch legitime Anwendungen blockiert und Sicherheitslücken übersehen werden.
- Ein Schwachstellenscanner wird nicht regelmäßig aktualisiert, wodurch bekannte Sicherheitslücken unentdeckt bleiben und ausgenutzt werden können.
- Ein unabgesprochen installierter Schwachstellenscanner scannt das Netz und wird von den zentralen Systemen als Angreifer erkannt oder beeiträchtigt die Funktion anderer Systeme.
G Z.7 Nutzung von BYOD (Bring Your Own Device) [CIA]
Beschreibung: BYOD (Bring Your Own Device) bietet Flexibilität und Komfort, da Mitarbeitende ihre eigenen, vertrauten Geräte nutzen können, was die Produktivität und Zufriedenheit steigern kann. Zudem reduziert BYOD die Anschaffungskosten für Unternehmen, da keine zusätzlichen Geräte bereitgestellt werden müssen. Die Nutzung von privaten Geräten der Mitarbeitenden für dienstliche Zwecke birgt jedoch auch erhebliche Sicherheitsrisiken. Diese Geräte sind oft nicht ausreichend gesichert und können unautorisierten Zugriff auf Unternehmensdaten und -systeme ermöglichen.
Beispiele:
- Ein Mitarbeitender verliert sein ungeschütztes privates Smartphone, das Zugang zu Unternehmensdaten hat, wodurch sensible Informationen in falsche Hände geraten.
- Ein BYOD-Gerät wird mit Malware infiziert, die sich anschließend im Unternehmensnetzwerk verbreitet und Schäden verursacht.
G Z.8 Verteilte Zuständigkeiten in sehr großen Organisationen [CIA]
Beschreibung: Verteilte Zuständigkeiten in sehr großen Organisationen führen zu komplexen Koordinations- und Kommunikationsprozessen. Dies kann zu einer erhöhten Anfälligkeit für Informationsverluste, Missverständnisse und ineffiziente Entscheidungsfindung führen. Die Vielzahl von Schnittstellen und die fehlende zentrale Kontrolle verstärken das Risiko von Sicherheitslücken und Verzögerungen in der Reaktion auf sicherheitsrelevante Vorfälle.
Beispiele:
- In einem multinationalen Unternehmen sind IT-Sicherheitsaufgaben auf verschiedene Länder und Abteilungen verteilt. Durch fehlende zentrale Steuerung kommt es zu Verzögerungen und Lücken bei der Implementierung von Sicherheitsrichtlinien.
- Eine große Behörde hat verschiedene Abteilungen mit eigenen IT-Systemen und Sicherheitsverantwortlichen. Die mangelnde Abstimmung führt dazu, dass Sicherheitsvorfälle nicht rechtzeitig gemeldet und bearbeitet werden.
- In einem Konzern werden Sicherheitsmaßnahmen von verschiedenen Tochtergesellschaften unabhängig voneinander umgesetzt. Dadurch entstehen Inkonsistenzen und Sicherheitslücken, die Angreifende ausnutzen können.