Erstgespräch
Erstgespräch buchen
Leistungen
Übersicht Audit Begleitung as a Service GAP-Analyse Implementierung Awareness & Schulungen
ISMS
Übersicht Externer ISB CISIS12 BSI IT-Grundschutz ISO 27001 Regulatorik Cyber Resilience Act DORA NIS-2 NIS-2 Betroffenheit NIS-2 Registrierung B3S KRITIS TISAX®
AIMS
Übersicht Externer KI-Beauftragter EU AI Act ISO 42001 ISO 42005
BCMS
Übersicht Externer BCM-Beauftragter BSI 200-4 ISO 22301 ITSCM Notfallmanagement
RMS
Übersicht Externer Risikomanager BSI 200-3 ISO 27005 MaRisk
Solutions
Übersicht Partner Patchmanagement Schwachstellenmanagement SIEM SOC
Wissen
Übersicht Insights KI-Security Briefing
Über uns
Übersicht Presse
+49 40-298 4553-0 [email protected]
Startseite Glossar Angriffsvektor
Glossar — Risikomanagement / ISO 27005 / MITRE ATT&CK

Angriffsvektor

Englisch: Attack Vector

Zuletzt aktualisiert: Mai 2026
Lesedauer: ca. 8 Minuten

Angriffsvektor ist der spezifische Weg oder Mechanismus, über den ein Angreifer eine Schwachstelle in einem IT-System, einer Anwendung oder einem organisatorischen Prozess ausnutzt, um unbefugten Zugang zu erlangen, Schaden anzurichten oder Daten zu entwenden. Der Begriff bezeichnet nicht die Bedrohung selbst, sondern den konkreten Pfad, den ein Angriff nimmt.

Normative Grundlage: ISO/IEC 27000:2018 + MITRE ATT&CK TA0001 + NIST SP 800-30 Rev. 1 Appendix D + CVSS v4.0 Specification (FIRST)

Hintergrund und normative Einordnung

Der Begriff Angriffsvektor hat seinen normativen Ursprung in der Schnittmenge mehrerer Sicherheitsstandards. ISO/IEC 27000:2018, die Terminologie-Norm der 27000-Familie, definiert zusammenhängende Konzepte wie Bedrohung (Threat: 'potential cause of an unwanted incident, which may result in harm to a system or organisation', Clause 3.74) und Verwundbarkeit (Vulnerability: 'weakness of an asset or control that can be exploited by one or more threats', Clause 3.77). Der Angriffsvektor verbindet beide: Er ist der operative Pfad, auf dem eine Bedrohung eine Schwachstelle erreicht und ausnutzt. ISO/IEC 27005:2022 operationalisiert dieses Konzept im ereignisbasierten Ansatz (Event-based Approach) der Risikoidentifikation: Risikoszenarien werden als Sequenz oder Kombination von Ereignissen beschrieben, die von einer Ursache zu einer schädlichen Konsequenz führen. Ein konkretes Beispiel des Standards ist die Phishing-E-Mail mit schädlichem Anhang als typischen Angriffsvektor. NIST SP 800-30 Rev. 1 (Guide for Conducting Risk Assessments, September 2012) kategorisiert in Appendix D Bedrohungsquellen nach Typen (absichtlich/unabsichtlich, intern/extern, technisch/nicht-technisch) und listet in Appendix E typische Bedrohungsereignisse, die jeweils einem oder mehreren Angriffsvektoren entsprechen.

In der deutschen und europäischen Compliance-Landschaft ist der Angriffsvektor 2025/2026 zu einem regulatorisch adressierten Schlüsselbegriff geworden. NIS-2 (Richtlinie EU 2022/2555) fordert in Artikel 21 Absatz 2 Buchstabe a von wesentlichen und wichtigen Einrichtungen explizit 'Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme'. Die Analyse relevanter Angriffsvektoren ist methodische Grundvoraussetzung dieser Risikoanalyse. Für Organisationen, die einen strukturierten Ansatz zur Angriffsvektor-Bewertung benötigen, bietet ISO 27005 Informationssicherheits-Risikomanagement von SECURAM eine normkonforme Methodik. BSI-Standard 200-3 (Risikoanalyse auf der Basis von IT-Grundschutz) referenziert den elementaren Gefährdungskatalog des IT-Grundschutz-Kompendiums mit 47 Einträgen (G 0.1 bis G 0.47), die Angriffsvektoren nach Kategorien systematisieren: G 0.14 (Ausspähen von Informationen/Spionage), G 0.21 (Manipulation von Hard- oder Software), G 0.22 (Manipulation von Informationen), G 0.23 (Unbefugtes Eindringen in IT-Systeme), G 0.36 (Identitätsdiebstahl), G 0.39 (Schadprogramme) und G 0.43 (Einspielen von Nachrichten). ENISA adressiert im Threat Landscape 2024 (12. Ausgabe, Oktober 2024, Analyse von über 11.000 Vorfällen) Phishing und seine Varianten als den mit Abstand häufigsten initialen Infektionsvektor mit einem Anteil von rund 60 Prozent aller Erstzugriffsangriffe, gefolgt von der Ausnutzung bekannter, ungepatchter Schwachstellen (ca. 21 Prozent).

Normative Bezüge:

ISO/IEC 27000:2018 Clause 3.74 (Threat) und Clause 3.77 (Vulnerability), terminologische Grundlage ISO/IEC 27005:2022 Clause 8.2 (Information security risk identification), Event-based Approach, Risk Scenarios NIST SP 800-30 Rev. 1 (September 2012), Appendix D (Threat Sources) und Appendix E (Threat Events)

Vorgehen in der Praxis

Die systematische Analyse von Angriffsvektoren folgt einem vierstufigen Prozess: von der strukturierten Bedrohungsmodellierung über die normative Vektor-Klassifikation und die Wahrscheinlichkeitsbewertung bis zum Defense-in-Depth-Mapping. Ziel ist nicht eine vollständige Aufzählung aller theoretisch denkbaren Wege, sondern die priorisierte Bearbeitung derjenigen Vektoren, die für die spezifische Organisation, ihr Bedrohungsprofil und ihre Assets tatsächlich relevant sind.

1
Schritt 1: Threat Modeling (Bedrohungsmodellierung) Im ersten Schritt wird das zu schützende System oder der Geschäftsprozess systematisch modelliert. Dabei werden Vertrauensgrenzen (Trust Boundaries) zwischen Systemkomponenten identifiziert, Datenflüsse kartiert und potenzielle Angreifer-Profile (Threat Actors) definiert. ISO/IEC 27005:2022 empfiehlt im Event-based Approach, die Analyse von der Konsequenz her zu beginnen: Was soll verhindert werden? Welche Bedrohungsquellen kommen in Frage (extern, intern, staatlich, kriminell, versehentlich)? Welche Assets sind exponiert? Gängige Methoden sind STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege) und PASTA (Process for Attack Simulation and Threat Analysis). BSI-Standard 200-3 bietet als Einstieg die Kreuzreferenztabellen des IT-Grundschutz-Kompendiums, die Bausteine den relevanten elementaren Gefährdungen zuordnen.
2
Schritt 2: Vektor-Klassifikation nach Norm und Framework Die identifizierten potenziellen Angriffswege werden nach anerkannten Klassifikationsschemata eingeordnet. CVSS v4.0 liefert die technische Dimension: Network (AV:N) für remote exploitierbare Vektoren, Adjacent (AV:A) für lokale Netzwerkzugänge (Bluetooth, WLAN, gleiches Subnetz), Local (AV:L) für lokale Systemzugänge sowie Physical (AV:P) für physische Manipulation. MITRE ATT&CK TA0001 (Initial Access) ergänzt mit operativer Tiefe: T1566 (Phishing), T1190 (Exploit Public-Facing Application), T1133 (External Remote Services), T1195 (Supply Chain Compromise), T1078 (Valid Accounts), T1189 (Drive-by Compromise), T1199 (Trusted Relationship) und weitere. BSI-Elementargefährdungen G 0.14, G 0.21, G 0.23, G 0.39 liefern das deutschsprachige Regulierungs-Mapping. OWASP Top 10:2021 deckt den webanwendungsspezifischen Teilbereich ab.
3
Schritt 3: Likelihood-Bewertung (Wahrscheinlichkeitsanalyse) Nicht jeder identifizierte Vektor ist gleich wahrscheinlich. NIST SP 800-30 Rev. 1 empfiehlt eine mehrstufige Likelihood-Bewertung, die Bedrohungsquelle (Motivation, Fähigkeit, Gelegenheit), bestehende Sicherheitskontrollen und tatsächliche Ausnutzungshinweise kombiniert. Relevante Datenquellen sind: CVSS-Scores und CISA Known Exploited Vulnerabilities (KEV) für technische Vektoren, ENISA Threat Landscape für sektorspezifische Trendaussagen, BSI CERT-Bund Advisories für DE-spezifische Warnstufen sowie MITRE ATT&CK Frequency-Daten für Techniken nach Bedrohungsgruppen. Das Ergebnis ist eine priorisierte Vektorliste mit Eintrittswahrscheinlichkeit und Schadenpotenzial als Basis für ISO 27005 Risk Treatment.
4
Schritt 4: Defense-in-Depth-Mapping (Gegenmaßnahmen-Zuordnung) Für jeden priorisierten Angriffsvektor werden Gegenmaßnahmen auf mehreren Verteidigungsebenen (Defense in Depth) zugeordnet. Die Zuordnung orientiert sich an ISO/IEC 27001:2022 Annex A Controls: Technische Kontrollen (z.B. A.8.7 Protection against malware für Schadsoftware-Vektoren, A.8.8 Management of technical vulnerabilities für Exploit-Vektoren, A.8.20 Networks security für Netzwerkvektoren), organisatorische Kontrollen (A.6.3 Information security awareness training für Social-Engineering-Vektoren, A.5.23 Information security for use of cloud services für Cloud-Vektoren) und physische Kontrollen (A.7.2 Physical entry für Physical-Access-Vektoren). Das Mapping dokumentiert, welche Controls welchen Vektor adressieren und wo Residualrisiken verbleiben, die dem Risiko-Akzeptanzprozess nach ISO 27005 Clause 8.5 zuzuführen sind.

ENISA Threat Landscape 2024 belegt, dass rund 60 Prozent aller registrierten Erstzugriffe über Phishing und seine Varianten (Vishing, Malspam, Malvertising) erfolgten, was den menschlichen Faktor als zentralsten Angriffsvektor ausweist und damit Social-Engineering-Abwehr als Priorität vor rein technischen Kontrollen platziert.

Abgrenzung zu verwandten Begriffen

Begriff Fokus Verhältnis zu Angriffsvektor
Bedrohung (Threat) Potenzielle Ursache eines unerwünschten Ereignisses (ISO 27000:2018 Clause 3.74); beschreibt Was bedroht, nicht Wie. Der Angriffsvektor konkretisiert die Bedrohung: Eine Bedrohung (z.B. 'Einbruch in IT-Systeme') wird erst operational, wenn ein konkreter Vektor (z.B. 'Phishing-Mail mit präpariertem PDF-Anhang') sie umsetzbar macht. Der Begriff Bedrohung ist abstrakter und umfasst auch natürliche Ursachen; der Angriffsvektor bezeichnet stets einen aktiv genutzten Pfad.
Schwachstelle (Vulnerability) Schwäche eines Assets oder einer Kontrolle, die durch eine Bedrohung ausgenutzt werden kann (ISO 27000:2018 Clause 3.77). Angriffsvektor und Schwachstelle sind komplementär: Der Vektor ist der Angriffspfad, die Schwachstelle ist der ausgenutzte Defekt am Zielpunkt. Ein Angriffsvektor kann ohne Schwachstelle nicht zum Erfolg führen; eine Schwachstelle ohne einen nutzbaren Angriffsvektor ist kein unmittelbares Risiko. CVSS trennt beide explizit: AV beschreibt den Exploitierungskontext, nicht den Fehler selbst.
Angriffsfläche (Attack Surface) Die Gesamtheit aller potenziellen Angriffspunkte eines Systems, über die ein Angreifer Einfluss nehmen könnte. Die Angriffsfläche ist die Menge aller theoretisch möglichen Angriffspunkte, der Angriffsvektor ist der konkrete Pfad, den ein Angreifer tatsächlich wählt. Je größer die Angriffsfläche (mehr exponierte Dienste, mehr Nutzerkonten, mehr Integrationspunkte), desto mehr potenzielle Vektoren existieren. Angriffsvektoren sind die verwirklichten Einzelpfade innerhalb der Angriffsfläche.

Typische Fehler und wie ihr sie vermeidet

  • Vektoren ausschließlich als externe Internet-Bedrohung betrachten: Viele Risikoanalysen reduzieren Angriffsvektoren auf extern-internet-basierte Pfade (Phishing-Mails, Webserver-Exploits). MITRE ATT&CK zeigt, dass Valid Accounts (T1078) und External Remote Services (T1133) häufig kompromittierte interne Konten oder legitime Zugänge nutzen. CVSS v4.0 kennt explizit die Kategorien Adjacent (gleiches Netzwerksegment) und Local (lokaler Systemzugang), die durch Insider-Handlungen oder physische Präsenz ausgelöst werden. Eine normkonforme ISO 27005-Analyse muss interne, angrenzende und physische Vektoren gleichwertig berücksichtigen.
  • Insider-Vektoren systematisch unterschätzen: Interne Benutzer mit legitimen Zugriffsrechten stellen einen eigenständigen Vektortyp dar: durch Missbrauch von Zugriffsberechtigungen, unbeabsichtigte Fehlkonfigurationen oder Kompromittierung von Insider-Konten durch externe Angreifer. BSI-Elementargefährdung G 0.38 (Missbrauch personenbezogener Daten) und NIST SP 800-30 Appendix D kategorisieren absichtliche wie unabsichtliche Insider-Bedrohungen als eigenständige Threat Sources. Risikoanalysen, die nur externe Angreifer modellieren, erkennen diesen Vektortyp nicht und lösten entsprechend keine Gegenmaßnahmen aus (Least-Privilege, User-Behaviour-Analytics).
  • Supply Chain als Angriffsvektor unterschätzen: Der Supply-Chain-Angriff (MITRE ATT&CK T1195: Supply Chain Compromise) nutzt vertrauenswürdige Drittparteien als Einstiegsvektor: Manipulation von Software-Updates, Kompromittierung von Entwicklungs-Pipelines, Hardware-Tainting oder Angriffe auf Managed Service Provider. ISO/IEC 27001:2022 Annex A Control 5.19 (Information security in supplier relationships) und NIS-2 Artikel 21 Absatz 2 Buchstabe d adressieren diesen Vektor explizit. Risikoanalysen, die Lieferanten-Vektoren nicht einschließen, erzeugen eine systematische Lücke, die empirisch in den größten Angriffen der letzten Jahre (SolarWinds 2020, 3CX 2023) ausgenutzt wurde.
  • Statische Vektorliste ohne regelmäßige ATT&CK-Aktualisierung: Angriffsvektoren sind nicht statisch: MITRE ATT&CK wird regelmäßig erweitert (aktuell Version 16 mit 10 Initial-Access-Techniken), neue Techniken werden hinzugefügt, wenn empirische Angriffsmuster sich verschieben. Eine Vektorliste, die einmalig im Rahmen einer ISO-27001-Zertifizierung erstellt und danach nicht gepflegt wird, entspricht nicht dem 'continual improvement'-Gebot von ISO 27001 Clause 10.2 und dem Geist von ISO 27005 Clause 8 (iterative Risikobewertung). BSI CERT-Bund Warnmeldungen und CISA KEV-Ergänzungen sind operative Quellen, um Vektorlisten quartalsweise zu validieren.

Relevanz im regulatorischen Kontext

NIS-2 (Richtlinie EU 2022/2555, Artikel 21 Absatz 2) verpflichtet wesentliche und wichtige Einrichtungen zu einem risikobasierten Cybersicherheitsansatz, der explizit Konzepte für die Risikoanalyse und Sicherheit von Informationssystemen (Buchstabe a), den Umgang mit Sicherheitsvorfällen (Buchstabe b), die Sicherheit der Lieferkette (Buchstabe d) sowie Sicherheitsmaßnahmen beim Erwerb, der Entwicklung und Wartung von Netzwerk- und Informationssystemen (Buchstabe e) umfasst. Alle vier Bereiche erfordern die Kenntnis und Bewertung relevanter Angriffsvektoren als methodische Grundlage. Die nationalen Umsetzungsgesetze (Deutschland: NIS2UmsuCG) schärfen die Anforderungen weiter und ermöglichen Bußgelder bei Nichterfüllung. BSI-Standard 200-3 konkretisiert die Methode für den deutschen Rechtsrahmen und stellt den elementaren Gefährdungskatalog als normatives Vektor-Mapping bereit.

Der Digital Operational Resilience Act (DORA, Verordnung EU 2022/2554) geht für den Finanzsektor noch weiter: Artikel 26 fordert von identifizierten Finanzunternehmen Threat-Led Penetration Testing (TLPT) mindestens alle drei Jahre auf Live-Produktionssystemen. TLPT-Szenarien basieren explizit auf aktuellen Bedrohungsgeheimdienstinformationen (Cyber Threat Intelligence) und repräsentieren damit reale, empirisch belegte Angriffsvektoren gegen den spezifischen Sektor. Die begleitenden RTS (Delegierte Verordnung EU 2025/1190) regeln die methodischen Anforderungen an Tester, Testumfang und Ergebnisdokumentation. Für Organisationen außerhalb des Finanzsektors bildet ISO/IEC 27001:2022 Annex A 8.8 (Management of technical vulnerabilities) in Verbindung mit ISO 27005:2022 Clause 8 den regulatorischen Referenzrahmen für die laufende Vektorbewertung.

Häufige Fragen

Was ist der Unterschied zwischen einem Angriffsvektor und einer Angriffsfläche?
Die Angriffsfläche (Attack Surface) ist die Gesamtheit aller theoretisch exploitierbaren Angriffspunkte eines Systems, also alle Eingabepunkte, Dienste, Konten und Integrationspunkte, über die ein Angreifer potenziell Einfluss nehmen könnte. Der Angriffsvektor ist der konkrete, tatsächlich genutzte Pfad innerhalb dieser Fläche. Jede Vergrößerung der Angriffsfläche (z.B. neuer webbasierter Dienst, neue Drittanbieterintegration) eröffnet potenzielle neue Angriffsvektoren, aber nicht jeder theoretische Punkt wird zu einem genutzten Vektor. Die Reduzierung der Angriffsfläche (Attack Surface Reduction) ist eine präventive Strategie, die die Anzahl nutzbarer Angriffsvektoren verringert.
Wie klassifiziert CVSS Angriffsvektoren und warum ist das für das Patch-Management relevant?
CVSS v4.0 (Common Vulnerability Scoring System) bewertet den Attack Vector (AV) als Basis-Metrik mit vier Ausprägungswerten: Network (AV:N) für per Internet remote exploitierbare Schwachstellen, Adjacent (AV:A) für Angriffe aus demselben Netzwerksegment (WLAN, Bluetooth, lokales Subnetz), Local (AV:L) für lokal zugängliche Systeme sowie Physical (AV:P) für physisch erreichbare Hardware. Diese Klassifikation ist für das Patch-Management direkt relevant: Schwachstellen mit AV:N werden priorisiert behandelt, da sie ohne physische Präsenz oder internen Zugang aus dem Internet ausgenutzt werden können. BSI CERT-Bund und CISA verwenden CVSS-AV-Werte in ihren Warnmeldungen als zentrales Priorisierungskriterium.
Welche Angriffsvektoren sind laut MITRE ATT&CK und ENISA aktuell am häufigsten?
Laut ENISA Threat Landscape 2024 (Analyse von über 11.000 Sicherheitsvorfällen) ist Phishing und seine Varianten (Vishing, Malspam, Malvertising) mit ca. 60 Prozent der häufigste initiale Infektionsvektor, gefolgt von der Ausnutzung bekannter, ungepatchter Schwachstellen in öffentlich erreichbaren Systemen (ca. 21 Prozent). MITRE ATT&CK TA0001 (Initial Access) spiegelt dies in seiner Technik-Häufigkeit wider: T1566 (Phishing) und T1078 (Valid Accounts) sind die am breitesten dokumentierten Initial-Access-Techniken über alle Bedrohungsgruppen hinweg. Supply Chain Compromise (T1195) gewinnt empirisch an Bedeutung, insbesondere durch staatlich gesponserte Angreifer. Der BSI CERT-Bund dokumentiert diese Verteilung regelmäßig in seinen Lageberichten für den deutschen Rechtsraum.

Quellen & weiterführende Literatur

  1. ISO/IEC 27000:2018, Information technology: Security techniques, Information security management systems, Overview and vocabulary (Clause 3.74 Threat, Clause 3.77 Vulnerability)
  2. ISO/IEC 27005:2022, Information security, cybersecurity and privacy protection: Guidance on managing information security risks (Clause 8.2 Information security risk identification, Event-based Approach)
  3. NIST SP 800-30 Rev. 1, Guide for Conducting Risk Assessments (September 2012), Appendix D: Threat Sources, Appendix E: Threat Events
  4. MITRE ATT&CK Enterprise Matrix v16, Initial Access Tactic TA0001 (T1566 Phishing, T1190 Exploit Public-Facing Application, T1195 Supply Chain Compromise, T1078 Valid Accounts u.a.)