ISO-9002_Beitragsbild

Was sind ISMS Schwachstellen & wie funktioniert das Schwachstellenmanagement ISO 27001?

Im Zusammenhang mit der ISO 27001 und dem Informationssicherheitsmanagement (ISMS) versteht man unter Schwachstellen Sicherheitslücken in den IT Systemen. Diese Sicherheitslücken werden dabei oft erst im Laufenden Betrieb erkannt. Ein Maßnahmenziel der Norm ISO 27001 ist deshalb die Handhabung technischer Schwachstellen (Anhang A. 12.6). Ein funktionierendes Schwachstellenmanagement ist aus diesem Grund ein wichtiger Bestandteil im Informationssicherheitsmanagement.

ISMS Schwachstellen sind dabei oftmals sehr unterschiedlicher Natur. Die folgende Aufzählung enthält Beispiele für Schwachstellen aus verschiedenen Sicherheitsbereichen, einschließlich Beispielen von möglichen Bedrohungen, die diese Schwachstellen ausnutzen könnten. Nutzen Sie diese Informationen direkt zur Einschätzung von Schwachstellen als nützliches Hilfsmittel. Es ist zu betonen, dass in manchen Fällen andere Bedrohungen ebenfalls diese Schwachstellen ausnutzen können. ISMS ISO 27001 Schwachstellen in der Umgebung und Infrastruktur:

  • Unzureichender Schutz von Gebäuden, Türen und Fenstern (Gefahr z.B. durch Diebstahl)
  • Unzureichende Zugangskontrollen zu Gebäuden und Räumen bzw. Missachtung der Vorkehrungen (Gefahr z.B. durch mutwillige Beschädigungen)
  • Instabiles Stromnetz (Gefahr z.B. von Strom Schwankungen)
  • Standort liegt in einem überflutungsgefährdeten Bereich (Gefahr z.B. von Überflutung)

Word Icon
Unser Tipp
Gratis Vorlage: Mit unserer gratis Anleitung Erstellung einer Prozessbeschreibung können Sie standardisierte Unternehmensabläufe zielführend beschreiben und in Visualisierungsmodellen darstellen, um Ihren Mitarbeitern so die Arbeitsabläufe verständlich aufzuzeigen.

Wie kann das Schwachstellenmanagement zum Abstellen einer Schwachstelle beitragen?

Wird im Rahmen des Informationssicherheitsmanagements nach ISO 27001 ein funktionierendes Schwachstellenmanagement betrieben, können Unternehmen so die Gefährdungen reduzieren. Dafür ist es zunächst einmal notwendig, zu wissen, welche Sicherheitslücken bei den verwendeten Informations- sowie Betriebssystemen auftreten können. Anschließend bewerten Unternehmen diese und leiten entsprechende Maßnahmen ab. In diesem Zusammenhang ist es sinnvoll, Inventarlisten zu erstellen und zu pflegen. Diese können zum Beispiel Informationen zu installierter Software, aktuelle Versionsnummern sowie die Verteilung innerhalb des Unternehmens umfassen.


Was sind mögliche ISMS Schwachstellen bei Hardware und Software?

Auch in der Hardware sowie Software kann es Schwachstellen geben, die abgestellt werden müssen. Hierzu zählen unter anderem Empfindlichkeiten gegenüber Spannungs- oder Stromschwankungen sowie gegenüber Feuchtigkeit, Staub und Schmutz. Auslöser für diese Schwachstellen können beispielsweise extreme Temperaturen, Bauarbeiten oder Stromschwankungen sein.

Weitere Beispiele für mögliche ISMS Schwachstellen bei Hard- und Software wären:

  • Empfindlichkeit gegenüber elektromagnetische Strahlungen (Gefahr z.B. durch elektromagnetische Strahlung)
  • Unzureichende Dokumentation der Hardwarekonfiguration (Gefahr von Bedienungsfehlern)
  • Unklare oder unvollständige Spezifikationen für Softwareentwickler (Gefahr z.B. von Softwareausfall)
  • Nicht bzw. unzureichend getestete Software (Gefahr z.B. der Softwarenutzung durch unberechtigte Benutzer)
  • Komplizierte Benutzeroberfläche (Gefahr z.B. durch Bedienungsfehler)
  • Unzureichende Identifikations- und Authentifizierungsmechanismen, z.B. Benutzer-Authentifizierung (Gefahr z.B. durch Verschleierung der Benutzeridentität)
  • Mangelnde Protokollierung (Gefahr z.B. von Software Missbrauch)
  • Bekannte Softwarefehler (Sicherheitslücken) (Gefahr z.B. der Softwarenutzung von unberechtigten Benutzern)
  • Ungeschützte Passworttabellen (Gefahr z.B. durch Missbrauch der Benutzeridentität)
  • Unzureichendes Passwort Management (Passwörter sind leicht erratbar, in Klartext abgespeichert, werden unzureichend gewechselt) (Gefahr z.B. durch Missbrauch der Benutzeridentität)
  • Falsche Vergabe von Zugriffsrechten (Gefahr z.B. von Software Missbrauch)
  • Unkontrollierter Download und Verwendung von Software (Gefahr z.B. durch Schadsoftware)
  • Kein “Logout” beim Verlassen des Arbeitsplatzes (Gefahr z.B. der Softwarenutzung von unberechtigten Usern)
  • Fehlende Dokumentation von Änderungen (Gefahr z.B. von Softwareversagen)
  • Unzureichende Dokumentation (Gefahr z.B. von Bedienungsfehlern)
  • Fehlende Backup-Kopien (Gefahr z.B. durch Schadsoftware oder Feuer)
  • Entsorgung bzw. Wiederverwendung von Datenträgern ohne sicheres Löschen (Gefahr z.B. von Software Missbrauch durch unberechtigte Benutzer)

Ausbildung ISO 27001 Informationssicherheitsmanagement ISO 27001

Unser Tipp
Präsenzschulung: Besuchen Sie unsere Ausbildung ISO IEC 27001 Basiswissen und steigen Sie in die Grundlagen des Informationssicherheitsmanagements ein. Sie lernen dabei alle wichtigen Forderungen des Norm Standards kennen und erfahren, wie Sie diese erfolgreich umsetzen.
E-Learning Kurs: Alternativ können Sie diese Schulung auch online als E-Learning Kurs durchführen. Sparen Sie Zeit und lernen Sie in Ihrem optimalen Tempo.

ISMS ISO 27001 Schwachstellen in der Kommunikation und bei Dokumenten

Weitere Bereiche, in denen Schwachstellen auftreten können, sind die Kommunikation sowie die Dokumentation. Im folgenden finden Sie mögliche Schwachstellen aus diesen Bereichen:

  • Ungeschützte Kommunikationsverbindungen (Gefahr z.B. das Nachrichten abgehört werden)
  • Mangelhafte Kabelleitungen (Gefahr z.B. der Manipulation des Nachrichtenverkehrs)
  • Fehlende Identifikation und Authentisierung von Sender und Empfänger (Gefahr z.B. durch Verschleierung der Benutzeridentität)
  • Übertragung von Passwörtern in Klartext (Gefahr z.B. von Netzwerkzugang durch unberechtigte Benutzer)
  • Mangelnde Nachweisbarkeit des Absendens bzw. Erhalts einer Nachricht (Gefahr z.B. der Abstreitbarkeit)
  • Einwahlverbindungen (Gefahr z.B. von Netzwerkzugang durch unberechtigte Benutzer)
  • Ungeschützter sensibler Datenverkehr (Gefahr z.B. das Nachrichten abgehört werden)
  • Unzureichendes Netzwerkmanagement (ausfallanfälliges Routing) (Gefahr z.B. der Netzwerküberlastung)
  • Ungeschützte öffentliche Netzwerkverbindungen (Gefahr der Softwarenutzung durch unberechtigte Benutzer)
  • Ungeschützte Aufbewahrung (Gefahr z.B. durch Diebstahl)
  • Leichtsinnige Entsorgung (Gefahr z.B. durch Diebstahl)
  • Unkontrollierte Vervielfältigung (Gefahr z.B. durch Diebstahl)

Auch Personal kann Ursache für Schwachstellen sein

Wie auch in anderen Bereichen, entstehenden Sicherheitslücken – und somit auch Schwachstellen – durch menschliche Fehler oder durch Fehlverhalten. Mitarbeiterschulungen zu den zentralen Sicherheitsbestimmungen stellen in diesem Zusammenhang ein effektives Mittel für das Schwachstellenmanagement dar. Gleichzeitig schaffen Unternehmen durch Schulungen ein Sucherheitsbewusstsein bei ihren Angestellten und können so Gefahren für die IT Sicherheit reduzieren.

  • Unbeaufsichtigte Tätigkeiten von Externen oder Reinigungspersonal (Gefahr z.B. durch Diebstahl und Spionage)
  • Unsachgemäße Verwendung von Software und Hardware (Gefahr z.B. von Bedienungsfehlern)
  • Mangelnde Überwachungsmechanismen (Gefahr z.B. von Software Missbrauch)
  • Fehlen von Standards zur richtigen Verwendung von Telekommunikationsmedien und Datenübertragung (Gefahr z.B. der unbefugten Nutzung des Netzwerkes)

Übergreifende ISMS Schwachstellen können beispielsweise sein:

  • Kritische Fehlerstellen (engl.: Single point of failure) (Gefahr z.B. durch Ausfall der Kommunikationsdienstleistungen)
  • Unzureichende Wartung (Gefahr z.B. von Hardware Ausfällen)

Ihre ISO 27001 Ausbildung

Alle Ausbildungsinfos zum direkten Download

Sie möchten sich im Bereich Managementsysteme ausbilden?
Wir haben zahlreiche Schulungen in unserem Ausbildungsprogramm – bspw. in den Bereichen Qualitätsmanagement, Automotive, Energie, Umwelt und viele mehr! Schauen Sie sich in unserem PDF-Katalog um und suchen Sie den für Sie passenden Fachbereich aus!

Dabei haben Sie bereits heute bei vielen Schulungen die Wahl zwischen: Präsenzschulung, E-Learning oder Hybrid Lehrgang!

Gratis PDF-Katalog


Popup-Banner-Katalog