Banner Wissensseite

Was sind ISMS Schwachstellen & wie funktioniert das Schwachstellenmanagement gemäß ISO 27001?

Im Zusammenhang mit der ISO 27001 und dem Informationssicherheitsmanagementsysten (ISMS) versteht man unter Schwachstellen Sicherheitslücken in den IT Systemen oder bestehenden Sicherheitsmaßnahmen. Diese Sicherheitslücken werden dabei oft erst im laufenden Betrieb erkannt. Ein Maßnahmenziel der ISO 27001 ist deshalb die Handhabung technischer Schwachstellen (Anhang A. 8.8). Ein funktionierendes Schwachstellenmanagement ist aus diesem Grund ein wichtiger Bestandteil im Management der Informationssicherheit.

ISMS Schwachstellen sind dabei oftmals sehr unterschiedlicher Natur. Die folgende Aufzählung enthält Beispiele für Schwachstellen aus verschiedenen Sicherheitsbereichen, einschließlich Beispielen von möglichen Bedrohungen, die diese Schwachstellen ausnutzen könnten.

ISMS Schwachstellen in der Umgebung und Infrastruktur:

  • Unzureichender Schutz von Gebäuden, Türen und Fenstern (Gefahr z.B. durch Diebstahl)
  • Unzureichende Zugangskontrollen zu Gebäuden und Räumen bzw. Missachtung der Vorkehrungen (Gefahr z.B. durch mutwillige Beschädigungen)
  • Instabiles Stromnetz (Gefahr z.B. von Strom Schwankungen)
  • Standort liegt in einem überflutungsgefährdeten Bereich (Gefahr z.B. von Überflutung)

Wie kann das Schwachstellenmanagement zum Abstellen einer Schwachstelle beitragen?

Wird im Rahmen des Informationssicherheitsmanagements nach ISO 27001 ein funktionierendes Schwachstellenmanagement betrieben, können Unternehmen so die Gefährdungen reduzieren. Dafür ist es zunächst einmal notwendig, mögliche Sicherheitslücken bei den verwendeten Informations- sowie Betriebssystemen zu identifizieren. Anschließend bewerten Unternehmen diese und leiten geeignete Sicherheitsmaßnahmen ab. In diesem Zusammenhang ist es sinnvoll, Inventarlisten zu erstellen und zu pflegen. Diese können zum Beispiel Informationen zu installierter Software, aktuelle Versionsnummern sowie die Verteilung innerhalb des Unternehmens umfassen.

Alle unsere YouTube Videos finden Sie hier auf dem YouTube Kanal der VOREST AG!


Was sind mögliche ISMS Schwachstellen bei Hardware und Software?

Auch in der Hardware sowie Software kann es Schwachstellen geben, die abgestellt werden müssen. Hierzu zählen unter anderem Empfindlichkeiten gegenüber Spannungs- oder Stromschwankungen sowie gegenüber Feuchtigkeit, Staub und Schmutz. Auslöser für diese Schwachstellen können beispielsweise extreme Temperaturen, Bauarbeiten oder Stromschwankungen sein.

Weitere Beispiele für mögliche ISMS Schwachstellen bei Hard- und Software wären:

  • Empfindlichkeit gegenüber elektromagnetische Strahlungen (Gefahr z.B. durch elektromagnetische Strahlung)
  • Unzureichende Dokumentation der Hardwarekonfiguration (Gefahr von Bedienungsfehlern)
  • Unklare oder unvollständige Spezifikationen für Softwareentwickler (Gefahr z.B. von Softwareausfall)
  • Nicht bzw. unzureichend getestete Software (Gefahr z.B. der Softwarenutzung durch unberechtigte Benutzer)
  • Komplizierte Benutzeroberfläche (Gefahr z.B. durch Bedienungsfehler)
  • Unzureichende Identifikations- und Authentifizierungsmechanismen, z.B. Benutzer-Authentifizierung (Gefahr z.B. durch Verschleierung der Benutzeridentität)
  • Mangelnde Protokollierung (Gefahr z.B. von Software Missbrauch)
  • Bekannte Softwarefehler (Sicherheitslücken) (Gefahr z.B. der Softwarenutzung von unberechtigten Benutzern)
  • Ungeschützte Passworttabellen (Gefahr z.B. durch Missbrauch der Benutzeridentität)
  • Unzureichendes Passwort Management (Passwörter sind leicht erratbar, in Klartext abgespeichert, werden unzureichend gewechselt) (Gefahr z.B. durch Missbrauch der Benutzeridentität)
  • Falsche Vergabe von Zugriffsrechten (Gefahr z.B. von Software Missbrauch)
  • Unkontrollierter Download und Verwendung von Software (Gefahr z.B. durch Schadsoftware)
  • Kein “Logout” beim Verlassen des Arbeitsplatzes (Gefahr z.B. der Softwarenutzung von unberechtigten Usern)
  • Fehlende Dokumentation von Änderungen (Gefahr z.B. von Softwareversagen)
  • Unzureichende Dokumentation (Gefahr z.B. von Bedienungsfehlern)
  • Fehlende Backup-Kopien (Gefahr z.B. durch Schadsoftware oder Feuer)
  • Entsorgung bzw. Wiederverwendung von Datenträgern ohne sicheres Löschen (Gefahr z.B. von Software Missbrauch durch unberechtigte Benutzer)

Passend für Sie zum Thema


ISMS ISO 27001 Schwachstellen in der Kommunikation und bei Dokumenten

Weitere Bereiche, in denen Schwachstellen auftreten können, sind die Kommunikation sowie die Dokumentation. Im Folgenden finden Sie mögliche Schwachstellen aus diesen Bereichen:

  • Ungeschützte Kommunikationsverbindungen (Gefahr z.B. das Nachrichten abgehört werden)
  • Mangelhafte Kabelleitungen (Gefahr z.B. der Manipulation des Nachrichtenverkehrs)
  • Fehlende Identifikation und Authentisierung von Sender und Empfänger (Gefahr z.B. durch Verschleierung der Benutzeridentität)
  • Übertragung von Passwörtern in Klartext (Gefahr z.B. von Netzwerkzugang durch unberechtigte Benutzer)
  • Mangelnde Nachweisbarkeit des Absendens bzw. Erhalts einer Nachricht (Gefahr z.B. der Abstreitbarkeit)
  • Einwahlverbindungen (Gefahr z.B. von Netzwerkzugang durch unberechtigte Benutzer)
  • Ungeschützter sensibler Datenverkehr (Gefahr z.B. das Nachrichten abgehört werden)
  • Unzureichendes Netzwerkmanagement (ausfallanfälliges Routing) (Gefahr z.B. der Netzwerküberlastung)
  • Ungeschützte öffentliche Netzwerkverbindungen (Gefahr der Softwarenutzung durch unberechtigte Benutzer)
  • Ungeschützte Aufbewahrung (Gefahr z.B. durch Diebstahl)
  • Leichtsinnige Entsorgung (Gefahr z.B. durch Diebstahl)
  • Unkontrollierte Vervielfältigung (Gefahr z.B. durch Diebstahl)

Auch Personal kann Ursache für Schwachstellen sein

Wie auch in anderen Bereichen, entstehenden Sicherheitslücken – und somit auch Schwachstellen – durch menschliche Fehler oder durch Fehlverhalten. Mitarbeiterschulungen zu den zentralen Sicherheitsbestimmungen stellen in diesem Zusammenhang ein effektives Mittel für das Schwachstellenmanagement dar. Gleichzeitig schaffen Unternehmen durch Schulungen ein Sicherheitsbewusstsein bei ihren Angestellten und können so Gefahren für die Informationssicherheit reduzieren.

  • Unbeaufsichtigte Tätigkeiten von Externen oder Reinigungspersonal (Gefahr z.B. durch Diebstahl und Spionage)
  • Unsachgemäße Verwendung von Software und Hardware (Gefahr z.B. von Bedienungsfehlern)
  • Mangelnde Überwachungsmechanismen (Gefahr z.B. von Software Missbrauch)
  • Fehlen von Standards zur richtigen Verwendung von Telekommunikationsmedien und Datenübertragung (Gefahr z.B. der unbefugten Nutzung des Netzwerkes)

Übergreifende ISMS Schwachstellen können beispielsweise sein:

  • Kritische Fehlerstellen (engl.: Single point of failure) (Gefahr z.B. durch Ausfall der Kommunikationsdienstleistungen)
  • Unzureichende Wartung (Gefahr z.B. von Hardware Ausfällen)

Ihre ISO 27001 Ausbildung

Alle Ausbildungsinfos zum direkten Download

Sie möchten sich im Bereich Managementsysteme ausbilden?
Wir haben zahlreiche Schulungen in unserem Ausbildungsprogramm – bspw. in den Bereichen Qualitätsmanagement, Automotive, Energie, Umwelt und viele mehr! Schauen Sie sich in unserem PDF-Katalog um und suchen Sie den für Sie passenden Fachbereich aus!

Dabei haben Sie bereits heute bei vielen Schulungen die Wahl zwischen: Präsenzschulung, E-Learning oder Hybrid Lehrgang!

Gratis PDF-Katalog


Popup-Banner-Katalog