asyoube logo asyoube

Gefährdungsarten

4 min 2 Abschnitte
Was du nach diesem Konzept kannst 4

  1. Du bist in der Lage, die Zusammenhänge zwischen organisatorischen Mängeln, technischem Versagen und der Entstehung von Sicherheitsrisiken zu erklären ,

    indem aufgezeigt wird, wie fehlende Prozesse, unzureichende Schulungen sowie Hardware- oder Softwarefehler die Schutzziele der Informationssicherheit gefährden.

  2. Du bist in der Lage, die Auswirkungen von Höherer Gewalt auf die IT-Sicherheit zu erklären ,

    indem potenzielle Konsequenzen von Ereignissen wie Naturkatastrophen, Feuer oder Pandemien für die IT-Infrastruktur und die betriebliche Kontinuität beschrieben werden.

  3. Du bist in der Lage, die Rolle menschlicher Faktoren als Gefährdung zu differenzieren ,

    indem unabsichtliches Handeln (z.B. Fehlkonfigurationen, Unachtsamkeit) von vorsätzlichen Handlungen (z.B. Sabotage, Spionage) abgegrenzt und deren unterschiedliche Auswirkungen auf die Informationssicherheit analysiert werden.

  4. Du bist in der Lage, die grundlegenden Gefährdungskategorien in der Informationssicherheit zu klassifizieren ,

    indem Bedrohungsszenarien in die Kategorien Höhere Gewalt, Organisatorische Mängel, Menschliches Fehlverhalten, Technisches Versagen und Vorsätzliche Handlungen eingeteilt und anhand typischer Beispiele beschrieben werden.

Welche grundlegenden Gefährdungskategorien bedrohen unsere IT?

Die fünf Kategorien der Bedrohungen

Stell dir vor, du bist für die Sicherheit einer modernen IT-Infrastruktur verantwortlich. Bedrohungen können von außen kommen (ein schwerer Sturm), aus dem Fundament (schlechte Planung), durch Materialermüdung (ein defekter Server) oder durch die handelnden Personen selbst (Unachtsamkeit oder böse Absicht). In der Informationssicherheit ordnen wir Risiken systematisch in fünf grundlegende Gefährdungskategorien ein:

  1. Höhere Gewalt (externe, unkontrollierbare Natur- oder Krisenereignisse)
  2. Organisatorische Mängel (Fehler in Planung, Richtlinien und Prozessen)
  3. Technisches Versagen (Defekte an Hard- oder Software)
  4. Menschliches Fehlverhalten (unabsichtliche Fehler im Arbeitsalltag)
  5. Vorsätzliche Handlungen (gezielte, böswillige Angriffe)

Wie die zugehörige Grafik veranschaulicht, hilft uns diese Einteilung dabei, die unterschiedlichsten Risiken zu erfassen, um die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit effektiv zu verteidigen.

Höhere Gewalt: Wenn externe Ereignisse die IT lahmlegen

Ein konkretes Beispiel: Ein Unternehmen betreibt sein primäres Rechenzentrum im Erdgeschoss nahe eines Flusses. Ein plötzliches Jahrhunderthochwasser flutet die Serverräume und zerstört die gesamte Hardware.

Dieses Szenario fällt unter Höhere Gewalt (englisch: Force Majeure). Es handelt sich um Ereignisse, die massiv von außen einwirken und oft weder vorhersehbar noch direkt verhinderbar sind. Dazu zählen Naturkatastrophen (Brände, Erdbeben, Stürme), aber auch weitreichende Krisen wie Pandemien oder großflächige Stromausfälle (Blackouts). Die massivste Auswirkung hat Höhere Gewalt meist auf die Verfügbarkeit der IT-Infrastruktur. Physische Zerstörung oder fehlendes Personal (z. B. durch Quarantänemaßnahmen) können die betriebliche Kontinuität (Business Continuity) vollständig zum Erliegen bringen.

Organisatorische Mängel: Das fehlerhafte Fundament

Stell dir vor, ein Unternehmen kauft die teuersten Firewalls, hat aber keinen festgelegten Prozess, um diese Systeme regelmäßig mit Updates zu versorgen.

Dies ist ein klassischer organisatorischer Mangel. Solche Mängel entstehen, wenn Richtlinien, Prozesse oder Schulungen fehlen oder unzureichend sind. Wenn Mitarbeitende nicht in Security-Awareness geschult werden, fallen sie leichter auf Phishing herein. Wenn es kein sauberes Patch-Management gibt, bleiben bekannte Sicherheitslücken offen. Organisatorische Mängel sind besonders gefährlich, da sie oft die direkte Ursache für technisches Versagen oder menschliche Fehler sind. Sie untergraben die gesamte Sicherheitsarchitektur und gefährden alle Schutzziele gleichermaßen.

Gefährdungsarten — dec-information-security-risk-management-analysis-types-of-threats_page1.svg

Wie unterscheiden sich technische und menschliche Risikofaktoren?

Technisches Versagen: Wenn Hard- und Software streiken

Ein Router-Netzteil brennt durch, eine Festplatte im Datenbankserver erleidet einen Head-Crash, oder ein Programmierfehler (Bug) in einer Webanwendung lässt das System abstürzen.

All dies fällt unter technisches Versagen. Wie die Darstellung zeigt, stehen hier defekte Systeme und fehlerhafter Code im Mittelpunkt. Technisches Versagen umfasst sowohl Hardware-Defekte als auch Software-Fehler. Die Auswirkungen sind oft sofort spürbar: Ein Serverausfall verletzt direkt die Verfügbarkeit. Ein Bug in der Software kann jedoch auch die Vertraulichkeit gefährden, wenn Angreifende diese Schwachstelle ausnutzen. Oft ist technisches Versagen eng mit organisatorischen Mängeln verknüpft – etwa wenn ein Hardware-Ausfall zum Desaster wird, weil der organisatorische Prozess für regelmäßige Backups fehlte.

Der menschliche Faktor: Unabsichtliche Fehler

Ein:e Administrator:in konfiguriert versehentlich einen Proxy-Server falsch und blockiert dadurch den gesamten ausgehenden Internetverkehr. Ein:e Mitarbeiter:in klickt im Stress auf einen Link in einer gefälschten E-Mail und lädt Ransomware herunter.

Dies sind Beispiele für unabsichtliches menschliches Fehlverhalten. Der Mensch gilt oft als das schwächste Glied in der Sicherheitskette. Bei diesen Vorfällen gibt es keine böse Absicht. Die Ursachen liegen meist in Unachtsamkeit, Zeitdruck, Übermüdung oder schlichtweg mangelndem Wissen. Solche Fehler können verheerende Folgen haben, von gelöschten Datenbanken (Verlust der Integrität) bis hin zu kompromittierten Zugangsdaten (Verlust der Vertraulichkeit).

Vorsätzliche Handlungen: Gezielte Angriffe

Ein:e gekündigte:r Entwickler:in löscht am letzten Arbeitstag absichtlich den gesamten Quellcode eines Projekts. Eine externe Hackergruppe bricht über eine Schwachstelle im VPN in das Firmennetz ein, um sensible Kund:innendaten zu stehlen und Lösegeld zu erpressen.

Im Gegensatz zu unabsichtlichen Fehlern steht bei vorsätzlichen Handlungen die klare Absicht im Vordergrund, Schaden anzurichten oder sich illegal zu bereichern. Wir unterscheiden hier zwischen Innentäter:innen (Sabotage, Datendiebstahl durch eigene Mitarbeitende) und externen Angreifenden (Spionage, Cyberangriffe). Da diese Akteure aktiv versuchen, Sicherheitsvorkehrungen zu umgehen, ist hier ein mehrschichtiger Sicherheitsansatz (Defense in Depth), den du bereits aus der Endpunktsicherheit kennst, absolut unerlässlich.

Gefährdungsarten — dec-information-security-risk-management-analysis-types-of-threats_page2.svg

Teste dein Wissen

Ein Blitzeinschlag legt die Stromversorgung eures Rechenzentrums lahm und der Hauptserver fällt aus. In welche Gefährdungskategorie fällt dieses Ereignis primär?

Bereit für mehr?

Thema verstanden?

Teste dein Wissen interaktiv in unserer App. 7 Tage kostenlos, dann nur 5 € im Monat.

Jetzt kostenlos testen Preise ansehen