Die rasante Entwicklung der Informations- und Kommunikationstechnologien bringt es mit sich, dass man sich systematisch mit ihrem Schutz befassen muss. In diesem Bereich gibt es eine Reihe spezifischer Fachbegriffe, von denen wir einige nacheinander erläutern werden. Was ist der Unterschied zwischen einer Schwachstelle, einer Bedrohung, einem Risiko und einem Ereignis?
Aber lassen Sie uns zunächst definieren, was ein Vermögenswert ist, denn es geht ja um dessen Beschädigung oder Verlust. Darunter verstehen wir alles, was für eine Person, eine Organisation, eine Gemeinde oder einen Staat von Wert ist und das, wenn es gestört wird, Schaden nimmt. Ein Vermögenswert ist also nicht nur Immobilien, bewegliches Eigentum, Finanzen, sondern auch Daten, Reputation, Ansehen am Arbeitsplatz, Glaubwürdigkeit, Vertrauenswürdigkeit, ein sauberes Strafregister, Gesundheit, das BIP eines Staates, die Qualität der Bildung und andere.
Schwachstelle
Dieser Begriff bezieht sich auf jede Schwachstelle in einem Informationsbestand, eine Schwachstelle in einem Informationssystem, in den Sicherheitsverfahren des Systems, den Maßnahmen oder deren Umsetzung. Es handelt sich um eine Lücke, für die ein Patch über das Patch-Management angewendet werden muss. Spezifische Probleme sollten in einer Liste bekannter Schwachstellen geführt werden, die vor allem durch die Sammlung von Informationen aus offiziellen Quellen wie Softwareherstellern und -lieferanten, Hardwareanbietern, Systemintegratoren usw. ermittelt werden sollten. Nehmen wir die menschliche Gesundheit als Beispiel: Wenn wir erkältet sind, schränkt sie uns bei der Arbeit ein. Deshalb nehmen wir einen Regenschirm mit, wenn es regnen sollte. Aber wir vergessen, dass er Löcher hat. Die Wolken sind in diesem Beispiel die Bedrohung, der Regenschirm ist der Schutzmechanismus und das Loch in ihm ist die Schwachstelle. Wenn wir es rechtzeitig flicken, schützen wir unser Kapital (Gesundheit). Aber wenn wir es nicht bemerkt haben, besteht immer noch die Möglichkeit, einen Regenmantel zu nehmen oder sogar zu Hause zu bleiben und uns so nicht der Bedrohung auszusetzen. Es gibt also mehrere Maßnahmen, um das Risiko einer Erkältung zu behandeln (Begrenzung des Vermögenswertes).
Bedrohung
Im Falle der Cybersicherheit handelt es sich um einen absichtlichen Versuch, sich Zugang zum System einer Person oder eines Unternehmens zu verschaffen. Die Akteure verfeinern ständig ihre Angriffsmethoden, entziehen sich der Entdeckung und nutzen neu entdeckte Schwachstellen aus. Sie verlassen sich aber auch auf gängige Methoden, auf die man sich vorbereiten kann. Mit anderen Worten: Eine Bedrohung ist die Möglichkeit, dass ein Ereignis eine bestehende Schwachstelle ausnutzt und die Cybersicherheit beeinträchtigt. Ihre Identifizierung erfolgt auf der Basis des schlimmsten Falls und die Bedrohungen werden in einem Bedrohungsreferenzkatalog (ISO/IEC 27005:2022) aufgeführt. Es wird empfohlen, diesen Katalog ständig zu aktualisieren und dabei die Erfahrungen aus früheren Vorfällen zu berücksichtigen. In der Praxis werden die Bedrohungen in absichtliche, zufällige und umweltbedingte Bedrohungen unterteilt. Zu den bekanntesten gehören Malware, Ransomware, Phishing, Social Engineering, aber auch Bedrohungen aus dem Unternehmen selbst.
Risiko
Einfach ausgedrückt, ist es ein Maß für die Wahrscheinlichkeit, dass ein unerwartetes Ereignis eintritt. In der Praxis bedeutet dies eine Situation, in der eine bestimmte Bedrohung eine bekannte oder unbekannte Schwachstelle ausnutzt und negative Auswirkungen auf geschützte Werte hat. Die Höhe des Risikos wird durch den Grad der Wahrscheinlichkeit des Eintretens des Ereignisses und das Ausmaß der dadurch verursachten Folgen (Schäden) beeinflusst.
Ereignis (Sicherheitsvorfall)
Wir verstehen darunter eine Situation, die eine unerwünschte Störung, einen Verlust, einen Notfall oder eine Krise in einer Organisation oder einem System verursacht oder wahrscheinlich verursachen wird. Wir erklären den Begriff Vorfall als eine konkrete Realisierung einer Bedrohung, Störung oder eines Angriffs, die in der Regel durch einen Menschen verursacht wird. Zum Beispiel ein Verstoß gegen die Sicherheitsrichtlinien, das Eindringen eines Hackers in ein System, ein Einbruch in eine Einrichtung, das Durchsickern von Verschlusssachen oder der Verlust einer Servicekarte. Nicht jeder Sicherheitsvorfall muss einen Schaden verursachen, z.B. muss eine Person bei einer Schießerei nicht getroffen werden, ein Hackerangriff muss nicht erfolgreich sein, das Überfahren einer roten Ampel muss nicht zu einem Verkehrsunfall führen.
Eine wirksame Verteidigung beginnt mit der Kenntnis der Sicherheitslage der IT-Umgebung und der Behandlung von Schwachstellen. Um das ganze Thema zu verstehen, ist es daher wichtig, die Terminologie der Cybersicherheit richtig zu verstehen.
