Schwachstellen, Bedrohungen und Risiken

Cybersecurity ist ein weites Feld, bei dem zahllose Faktoren zu berücksichtigen sind. Doch bevor ihr euch in dieses komplexe Thema stürzt, solltet ihr drei Grundkonzepte der Cybersecurity kennen und verstehen: Schwachstellen, Bedrohungen und Risiken.

In diesem Artikel nehmen wir diese Konzepte genauer unter die Lupe und hören, was Branchenprofis dazu zu sagen haben.

Schwachstellen, Bedrohungen und Risiken: Worin liegt der Unterschied?

Die drei Begriffe Schwachstellen, Bedrohungen und Risiken werden oft in einem Atemzug genannt, bezeichnen aber jeweils unterschiedliche Aspekte der Cybersecurity. Ihr könnt sie euch wie ein Spektrum vorstellen:

• Am Anfang steht eine Schwachstelle, die eure Organisation Bedrohungen aussetzt.
• Eine Bedrohung ist ein böswilliges oder negatives Ereignis, das eine Schwachstelle ausnutzt.
• Und das Risiko ist das Schadens- oder Verlustpotenzial, das durch eine Bedrohung entsteht.

Als Nächstes sehen wir uns die drei Begriffe näher an.

(Verwandte Themen: Splunk-Blog zur IT-Sicherheit sowie Events und Konferenzen rund um Cybersecurity und InfoSec)

Was ist eine Schwachstelle?

Fangen wir mit Schwachstellen an. Eine Schwachstelle ist ein anfälliger oder fehlerhafter Punkt in einem System (Infrastruktur, Datenbank oder Software), kann aber auch in einem Prozess, in Kontrollabläufen oder in einer bestimmten Implementierungs- oder Bereitstellungsart vorkommen.

Es gibt verschiedene Typen von Schwachstellen, die sich grob so unterteilen lassen:

• Technische Schwachstellen, z. B. Bugs in Programmiercode oder Fehler in Hard- oder Software. Laut Positive Technologies ließen sich 2022 fast drei Viertel (72 %) aller Schwachstellen auf Fehler im Code von Web-Anwendungen zurückführen.
• Menschliche Schwachstellen, z. B. Mitarbeiter, die Phishing, Smishing oder ähnlichen Cyberangriffen zum Opfer fallen. Bei 85 % dieser Cyberangriffe geht es um Datendiebstahl.

Einige Schwachstellen sind schnell behoben, etwa indem kurz nach einem neuen Release ein Patch bereitgestellt wird. Problematisch wird es, wenn die Schwachstelle unbekannt ist oder unentdeckt bleibt, denn dann stellt sie ein potenzielles Einfallstor für Angriffe oder Bedrohungen dar. Ein Beispiel für eine Schwachstelle wäre eine Tür, die über Nacht unverschlossen bleibt. Die Tür an sich ist nicht das Problem, aber wenn eine finstere Gestalt sie entdeckt und ins Gebäude gelangt, kann das schlimme Folgen haben.

Auswirkungen von Schwachstellen

Je mehr Schwachstellen ihr also habt, desto größer ist das Bedrohungspotenzial und damit das Risiko.

So weit, so einleuchtend. Doch die wenigsten haben wohl eine Vorstellung von den schieren Ausmaßen des Problems: Dem britischen Server- und Domain-Provider Fasthosts zufolge kann ein einzelnes Unternehmen Tausende oder sogar Millionen von Schwachstellen aufweisen!

IBM schreibt in seinem Cost of a Data Breach Report 2023, dass die durchschnittlichen Kosten eines Datenlecks den Rekordwert von 4,45 Millionen USD erreicht haben – ein Anstieg um 2,2 % gegenüber dem Vorjahr und um 15 % in nur drei Jahren. Solche Angriffe können sehr teuer werden und weite Kreise ziehen. Progress Software beispielsweise laboriert noch immer an den Folgen der MOVEIT Transfer-Schwachstelle von 2023, die bislang 94 Millionen Benutzer betroffen und mehr als 15 Milliarden USD Gesamtschaden angerichtet hat. Und damit ist das Ende der Fahnenstange keineswegs erreicht, die Wiederherstellungsmaßnahmen laufen bis heute.

Hier einige weitere aktuelle Beispiele für Schwachstellen:

• 2024: RegreSSHion, eine kritische Schwachstelle in OpenSSH
• 2024: Datenleck bei der Trello-Plattform
• 2023: Datenleck beim Support-System von Okta
• 2023: gehackter Kontosignaturschlüssel bei Microsoft

Ihr möchtet noch mehr erfahren? Dann empfehlen wir euch das öffentlich zugängliche Verzeichnis Common Vulnerabilities and Exposures (CVE), eine der wichtigsten Wissensquellen für Security-Schwachstellen.

(Verwandte Themen: Schwachstellenmanagement in der Praxis)

Was ist eine Bedrohung?

Der gängigsten Definition nach ist eine Cybersecurity-Bedrohung jede potenzielle Ausnutzung einer Schwachstelle, die die Vertraulichkeit, Integrität oder Verfügbarkeit von Systemen, Daten, Mitarbeitern usw. beeinträchtigen könnte.

(Vertraulichkeit, Integrität und Verfügbarkeit, englisch „Confidentiality, Integrity and Availability“ oder kurz „CIA-Triade“, ist ein weiteres Grundkonzept der Cybersicherheit.)

Eine genauere Definition lautet: Eine Bedrohung liegt vor, wenn ein Angreifer die Gelegenheit, Fähigkeit und Absicht hat, betriebliche Prozesse, Vermögenswerte, Mitarbeiter und/oder Kundschaft negativ zu beeinflussen. Beispiele dafür wären Malware, Ransomware oder Phishing-Angriffe – und die Liste der Bedrohungen wird immer länger.

Allerdings weist Bob Rudis, Vice President Data Science bei GreyNoise Intelligence, darauf hin, dass nicht alle Bedrohungen gleich kritisch sind. Und aus genau diesem Grund sind Bedrohungsinformationen (Threat Intelligence) so wichtig. Rudis:

„Ein Angreifer mag vielleicht die Absicht und Fähigkeit haben, Schaden anzurichten, aber nicht die Gelegenheit dazu.“

Theoretisch ist es durchaus denkbar, dass euer Unternehmen keine Schwachstellen hat, beispielsweise weil es über ein robustes Patch-Management oder eine starke Richtlinie zur Netzwerksegmentierung verfügt, die den Zugriff auf kritische Systeme unterbindet. In der Praxis sind Schwachstellen aber fast nie ganz auszuschließen. Deshalb müssen wir uns mit dem Risikofaktor auseinandersetzen.

Was ist ein Risiko?

Der Risikobegriff umfasst sowohl die Wahrscheinlichkeit, dass ein negatives (schädliches) Ereignis auftritt, als auch das potenzielle Ausmaß dieses Schadens. Aufgrund interner und externer Faktoren schwankt euer Unternehmensrisiko im Zeitverlauf, mitunter sogar täglich.

Der Open FAIR Body of Knowledge definiert Cyberrisiko etwas technischer als die wahrscheinliche Häufigkeit und Größenordnung eines Verlustes. Das hört sich abstrakt an, ist aber im Grunde leicht nachvollziehbar: „Zunächst einmal“, so Rudis, „gibt es kein Risiko aus dem Nichts. Ein Risiko betrifft immer etwas [Greifbares], sei es ein System, ein Gerät, ein Geschäftsprozess, ein Bankkonto, der Ruf eines Unternehmens oder ein Menschenleben.“

Folglich können Cybersecurity-Teams dieses Risiko auch messen:

1. Schätzen ab, wie oft ein Angreifer versuchen dürfte, eine Schwachstelle auszunutzen, um den gewünschten Schaden anzurichten.
2. Prüfen, wie gut eure vorhandenen Systeme, Schutzmaßnahmen und Prozesse solchen Versuchen standhalten können.
3. Beziffern den finanziellen Effekt oder Schaden, den ein erfolgreicher Angriff verursachen könnte.

Früher wurde das Risiko oft mit der Formel Folge x Wahrscheinlichkeit beschrieben, doch inzwischen wissen wir dank ausgefeilteren Prozessen und genaueren Informationen, dass auch vorhandene Sicherheitsvorkehrungen einfaktoriert werden müssen.

Risiko = Bedrohung x Schwachstelle

Eine weitere, etwas vereinfachte Darstellungsmöglichkeit des Risikos ist:

Schwachstelle x Bedrohung = Risiko

In dieser Formel steckt alles, was wir bereits besprochen haben: Eine einzelne Schwachstelle multipliziert mit der potenziellen Bedrohung (Häufigkeit, vorhandene Sicherheitsvorkehrungen und potenzielle Schadenshöhe) ergibt näherungsweise das Risiko. Risikominimierung und Risikomanagement auf Unternehmensebene setzen also voraus, dass ihr eure Schwachstellen und die damit einhergehenden Bedrohungen kennt – und das ist keine leichte Aufgabe.

(Verwandte Themen: Management von Cyberrisiken und Risikomanagement-Frameworks) 

Reales Beispiel

Euer Unternehmen versucht womöglich, alle seine Daten zu schützen, etwa mithilfe von Datenverschlüsselung und ähnlichen Ansätzen. Doch diese Herangehensweise ist extrem kostspielig. Daher solltet ihr Prioritäten setzen, was am dringlichsten geschützt werden muss.

Stellt euch euer Risiko folgendermaßen vor: Sollte ein Schutzmechanismus für bestimmte Daten versagen, habt ihr eine oder mehrere Schwachstellen. Wenn nun ein Bedrohungsakteur diese Schwachstellen findet und ausnutzt, existiert eine Bedrohung.

Euer Risiko hängt nun davon ab, wie hoch der Schaden wäre, wenn die Daten dem Bedrohungsakteur in die Hände fallen.

Best Practices für das Risikomanagement

Bezüglich des Risikos gilt (leider), dass ihr nicht alle Bedrohungen vermeiden oder euch davor schützen könnt, egal wie fortschrittlich eure Systeme sind. Hier kommt das Risikomanagement ins Spiel: Spezialisten prüfen Risiken regelmäßig und fortlaufend, um die Wahrscheinlichkeit bestimmter Bedrohungen so gering wie möglich zu halten.

Am Anfang jeder proaktiven Risikomanagement-Strategie steht also die Einsicht, dass es für Organisationen schlicht nicht möglich ist, jedes Risiko auszuschließen. Ausgehend davon könnt ihr euch daran machen, eure Risikobewertung zu definieren, und zwar in fünf Schritten:

Schritt 1: Risiko erkennen

Bewertet die IT-Umgebung und -Infrastruktur eures Unternehmens im Hinblick auf Schwachstellen, die euren Betrieb beeinträchtigen könnten. Dies schließt Folgendes ein:

• Bestimmt, was schiefgehen könnte.
• Definiert, was als normal oder als standardisierter Betriebsablauf gilt.
• Stellt sicher, dass ihr die regulatorischen Vorschriften erfüllt.

(Verwandte Themen: GRC – Governance, Risiko und Compliance)

Schritt 2: Risiko bewerten

In diesem Schritt konzentriert ihr euch auf potenzielle Auswirkungen, die ein erkanntes Risiko auf euer Unternehmen, dessen Betrieb und dessen Ziele haben könnte. Damit ihr diese Auswirkungen umfassend bestimmen könnt, müsst ihr euch damit auseinandersetzen, wie leicht Schwachstellen entdeckt, ausgenutzt und reproduziert werden können.

Schritt 3: Risiko analysieren

Definiert basierend auf den vorherigen Schritten die besten Maßnahmen oder Ansätze, mit denen eurer Unternehmen Risiken minimieren kann. Je nach den Auswirkungen eines Risikos habt ihr folgende Wahlmöglichkeiten:

• Risiko akzeptieren: Ihr seid euch des Risikos bewusst, ohne etwas dagegen zu unternehmen. Dies ist sinnvoll, wenn die zu erwartenden Auswirkungen hinnehmbar oder die Kosten der Risikominimierung höher als der voraussichtliche Schaden sind.
• Risiko vermeiden: Ihr stellt Aktivitäten ein, die mit signifikanten Risiken einhergehen, insbesondere wenn das Risiko höher ist als der Nutzen einer Aktivität.
• Risiko übertragen: Ihr teilt das Risiko mit einem Dritten, sei es durch Outsourcing oder durch Abschluss einer Cyberversicherung.
• Risiko minimieren: Ihr implementiert Sicherheitsmaßnahmen und -kontrollen, um die Auswirkungen oder die Wahrscheinlichkeit des Eintritts zu reduzieren.

Schritt 4: Risikokontrollen einrichten und prüfen

Hier ergreift ihr Management- und Minimierungsmaßnahmen, um mögliche Risiken zu beseitigen oder erheblich zu reduzieren. Beispielsweise könnt ihr eine Firewall, Passwörter, Multi-Faktor-Authentisierung und Verschlüsselung einrichten. Unternehmen, die solche Maßnahmen umgesetzt hatten, sparten 2023 rund 1,76 Millionen USD gegenüber Unternehmen ohne solche Maßnahmen.

Auch Frameworks wie NIST CSF oder das FAIR-Framework sind in diesem Zusammenhang nützlich.

Schritt 5: Risiko dokumentieren

Dokumentiert und prüft regelmäßig alle Sicherheitsverletzungen, die aufgetreten sind, damit ihr daraus Lehren ziehen und euer Risikomanagement verbessern könnt.

Bedrohungen nicht einfach ignorieren

Unternehmen, die Schwachstellen und Bedrohungen einfach ignorieren, begehen einen folgenschweren, sprich kostspieligen Fehler. Setzt also die richtigen Prioritäten, indem ihr ein effektives Risikomanagement definiert. Ganz wichtig dabei: Absolute Sicherheit gibt es nicht, und Sicherheit ist auch kein Zustand, sondern ein fortlaufender Prozess, der stetig weiterentwickelt werden muss.