Startseite Glossar Bedrohung

Bedrohung

Englisch: Threat

Bedrohung ist nach ISO/IEC 27000:2018 Clause 3.74 eine potenzielle Ursache eines unerwünschten Ereignisses, das einem System oder einer Organisation schaden kann.

Normative Grundlage: ISO/IEC 27000:2018 Clause 3.74 + ISO/IEC 27005:2022 Clause 3.4

Hintergrund und normative Einordnung

Der Begriff Bedrohung hat seinen normativen Ursprung in der ISO/IEC 27000-Familie. ISO/IEC 27000:2018 definiert in Clause 3.74: "threat: potential cause of an unwanted incident, which may result in harm to a system or organisation." Diese Definition ist die Grundlage für alle nachgelagerten Normen der Reihe. ISO/IEC 27005:2022 operationalisiert den Begriff in Clause 3.4 und im risikobasierten Identifikationsprozess: Eine Bedrohung wird durch eine Bedrohungsquelle (natürliche Ereignisse, technisches Versagen, menschliches Handeln, organisatorisches Versagen) ausgelöst und richtet sich gegen Werte der Organisation. NIST SP 800-30 Rev. 1 definiert einen Threat ähnlich als "any circumstance or event with the potential to adversely impact organizational operations and assets, individuals, or other organizations through an information system." Beide Rahmenvorgaben stimmen darin überein, dass eine Bedrohung von ihrer bloßen Existenz her noch keinen Schaden erzeugt, sondern erst dann wirksam wird, wenn sie auf eine Schwachstelle trifft.

In der deutschen Compliance-Landschaft ist der Bedrohungsbegriff eng mit dem IT-Grundschutz des BSI verknüpft. BSI-Standard 200-3 übernimmt die Logik von ISO 27005 und referenziert den Katalog der 47 elementaren Gefährdungen aus dem IT-Grundschutz-Kompendium. Diese sind nach Bedrohungsklassen gegliedert und werden den Bausteinen des Kompendiums über eine Kreuztabelle zugeordnet. Ergänzend kategorisiert die ENISA im jährlichen Threat Landscape Report (zuletzt 2024) Bedrohungen nach operativer Relevanz: Sieben Hauptbedrohungsbereiche wurden 2024 identifiziert, angeführt von Angriffen auf die Verfügbarkeit (DDoS), Ransomware und Angriffen auf Daten. NIS-2 (Richtlinie EU 2022/2555) fordert in Artikel 21 von wesentlichen und wichtigen Einrichtungen, dass ihre Risikomanagementmaßnahmen von einer Analyse der Bedrohungslage ausgehen. Eine strukturierte Bedrohungsanalyse ist damit nicht nur methodische Best Practice, sondern regulatorische Pflicht. SECURAM unterstützt Unternehmen dabei im Rahmen der ISO 27005 Risikomanagement-Beratung.

Normative Bezüge:

ISO/IEC 27000:2018 Clause 3.74 (Threat Definition) ISO/IEC 27005:2022 Clause 3.4 (Threat) und Annex C (Threat Catalogue, 56 Einträge in 7 Kategorien) ISO/IEC 27001:2022 Clause 6.1.2 (Actions to address risks and opportunities) + Annex A.8

Vorgehen in der Praxis

Die Bedrohungsanalyse folgt einem vierstufigen Prozess, der aus ISO/IEC 27005:2022, BSI-Standard 200-3 und NIST SP 800-30 Rev. 1 abgeleitet ist. Er beginnt mit der Identifikation aller relevanten Bedrohungen, schreitet zur Kategorisierung fort, analysiert die Bedrohungsquellen und schließt mit der Einschätzung der Eintrittswahrscheinlichkeit. Erst mit diesem abgeschlossenen Prozess liegen die Eingangsdaten für die Risikoanalyse vor.

1
Threat Identification (Bedrohungsidentifikation) Auf Basis eines strukturierten Bedrohungskatalogs werden alle für den Untersuchungsbereich relevanten Bedrohungen erfasst. ISO/IEC 27005:2022 Annex C stellt dafür 56 Bedrohungsbeispiele in sieben Kategorien bereit. BSI-Standard 200-3 und das IT-Grundschutz-Kompendium liefern den Katalog der 47 elementaren Gefährdungen (G 0.1 bis G 0.47). Die Identifikation umfasst sowohl intentionale Bedrohungen (Angreifer, Insider) als auch nicht-intentionale Bedrohungen (Naturkatastrophen, technisches Versagen) und organisatorische Ursachen. Ergebnis ist eine dokumentierte Bedrohungsübersicht je Zielobjekt.
2
Threat Categorisation (Bedrohungskategorisierung) Die identifizierten Bedrohungen werden nach Art der Bedrohungsquelle klassifiziert. ISO/IEC 27005:2022 Annex C unterscheidet sieben Kategorien: Physische Bedrohungen, natürliche Bedrohungen, Infrastrukturausfälle, technisches Versagen, menschliche Handlungen (mit 26 Einträgen der größte Block), Kompromittierung von Funktionen oder Diensten sowie organisatorische Bedrohungen. BSI verwendet die Kategorien Höhere Gewalt, Organisatorische Mängel, Menschliche Fehlhandlungen, Technisches Versagen und Vorsätzliche Handlungen. NIST SP 800-30 Rev. 1 trennt primär zwischen Adversarial (Angreifer mit Absicht), Accidental (unbeabsichtigt), Structural (Systemfehler) und Environmental (Umgebungseinflüsse). Diese Kategorisierung steuert die spätere Maßnahmenauswahl.
3
Threat Source Analysis (Bedrohungsquellenanalyse) Für jede Bedrohung wird die Bedrohungsquelle (Threat Source) identifiziert und ihre Eigenschaften beschrieben. Bei intentionalen Bedrohungen sind das: Angreifertyp (staatlich, kriminell organisiert, Insider, Skriptkiddie), Motivation (finanziell, politisch, Spionage, Sabotage), technische Fähigkeiten (capability) und verfügbare Ressourcen. Bei nicht-intentionalen Bedrohungen stehen Eintrittshistorik und geografische Exposition im Vordergrund. ISO/IEC 27005:2022 ergänzt das ereignisbasierte Vorgehen (Event-based approach), das Bedrohungsquellen mit möglichen Szenarien und deren Konsequenzen verknüpft, ohne den Umweg über einzelne Assets zu nehmen.
4
Threat Likelihood Assessment (Wahrscheinlichkeitsbewertung) Die Eintrittswahrscheinlichkeit jeder Bedrohung wird in einer definierten qualitativen oder quantitativen Skala eingestuft. Einflussgrößen sind: aktuelle Bedrohungslage (ENISA Threat Landscape, CERT-Bund-Warnmeldungen), bereits wirksame Kontrollen, historische Vorfallsdaten und das Profil der Bedrohungsquelle. NIST SP 800-30 Rev. 1 Anhang G beschreibt halbquantitative Wahrscheinlichkeitstabellen. BSI-Standard 200-3 verwendet die Stufen selten, mittel, häufig und sehr häufig. Das Ergebnis geht als Wahrscheinlichkeitskomponente direkt in die Risikoanalyse nach ISO/IEC 27005:2022 Clause 7.3 ein.

Ein Bedrohungskatalog verliert ohne regelmäßige Aktualisierung seinen Wert, da neue Angriffstechniken, veränderte Tätergruppen und geopolitische Entwicklungen das Bedrohungsbild kontinuierlich verändern, wie der ENISA Threat Landscape Report jährlich belegt.

Abgrenzung zu verwandten Begriffen

Begriff Fokus Verhältnis zu Bedrohung
Schwachstelle (Vulnerability) Ausnutzbare Schwäche in einem System, Prozess oder einer Kontrolle Die Schwachstelle ist die notwendige Gegenseite zur Bedrohung: Erst wenn eine Bedrohung auf eine Schwachstelle trifft, entsteht ein Risiko. ISO/IEC 27000:2018 Clause 3.77 definiert Vulnerability als "weakness of an asset or control that can be exploited by one or more threats." Eine Bedrohung ohne ausnutzbare Schwachstelle erzeugt kein Risiko, eine Schwachstelle ohne aktive Bedrohung ebenfalls nicht.
Risiko (Risk) Wirkung von Ungewissheit auf Ziele (ISO 31000) als Funktion von Bedrohung, Schwachstelle und Auswirkung Das Risiko ist das Ergebnis der Kombination aus Bedrohung, Schwachstelle und möglichem Schaden. ISO/IEC 27005:2022 Clause 7.3 beschreibt Risiko als Produkt aus Eintrittswahrscheinlichkeit und Auswirkung. Die Bedrohung ist damit Eingangsgröße der Risikoanalyse, nicht das Risiko selbst.
Angriff (Attack) Tatsächlicher, absichtlicher Versuch, eine Schwachstelle auszunutzen Der Angriff ist die Realisierung einer intentionalen Bedrohung. Eine Bedrohung ist das Potenzial, ein Angriff ist das Ereignis. MITRE ATT&CK katalogisiert reale Angriffstechniken und -taktiken und hilft damit, Bedrohungsszenarien aus der Bedrohungsanalyse zu konkretisieren.

Typische Fehler und wie ihr sie vermeidet

  • Nur technische Bedrohungen erfasst: Viele Bedrohungsanalysen konzentrieren sich ausschließlich auf technische Angriffsvektoren wie Malware oder Netzwerkangriffe. ISO/IEC 27005:2022 Annex C und der BSI-Katalog G 0.1 bis G 0.47 belegen, dass natürliche Ereignisse (Feuer, Überschwemmung), organisatorische Mängel (Fehlplanung, Personalausfall) und menschliche Fehlhandlungen gleichwertige Bedrohungskategorien sind, die im Risikobild fehlen, wenn sie ausgeblendet werden.
  • Bedrohungskatalog nicht aktualisiert: Ein einmal erstellter Bedrohungskatalog wird über Jahre unverändert verwendet, obwohl sich Angriffsmethoden und Tätergruppen laufend weiterentwickeln. ENISA Threat Landscape 2024 zeigt, dass Angriffe auf die Verfügbarkeit (DDoS) erstmals Ransomware als häufigsten Angriffstyp überholten und KI-gestützte Social-Engineering-Angriffe stark zunahmen. Ohne Aktualisierung fehlen solche Entwicklungen im Risikobild.
  • Bedrohung nicht mit Assetwert verknüpft: Bedrohungen werden häufig abstrakt dokumentiert, ohne Bezug zu den betroffenen Werten (Assets) und deren Schutzbedarf. ISO/IEC 27005:2022 Clause 7.2 im assetbasierten Ansatz und BSI-Standard 200-3 Kapitel 4 verlangen jedoch, dass Bedrohungen immer in Bezug auf konkrete Zielobjekte bewertet werden, da die Relevanz einer Bedrohung vom Wert des bedrohten Assets abhängt.
  • Bedrohungsquelle nicht charakterisiert: Die Bedrohung wird benannt, ohne die zugehörige Bedrohungsquelle (Threat Source) zu beschreiben. Dabei sind Motivation, Fähigkeiten und Ressourcen des Angreifers entscheidend für die Bewertung der Eintrittswahrscheinlichkeit. NIST SP 800-30 Rev. 1 Anhang D listet systematisch Bedrohungsquellen-Typen und deren charakteristische Eigenschaften, die für eine belastbare Wahrscheinlichkeitsbewertung benötigt werden.

Relevanz im regulatorischen Kontext

Die Richtlinie (EU) 2022/2555 (NIS-2) verpflichtet in Artikel 21 wesentliche und wichtige Einrichtungen zu risikobasierten Cybersicherheitsmaßnahmen. Dazu gehört ausdrücklich die Risikoanalyse als Teil eines umfassenden Ansatzes zur Bewältigung von Cybersicherheitsrisiken. Eine solche Risikoanalyse setzt die strukturierte Identifikation und Bewertung von Bedrohungen voraus. Auf nationaler Ebene konkretisiert das BSI-Gesetz (BSIG) diese Anforderung und verweist auf den Stand der Technik, der für ISO-zertifizierte Organisationen durch BSI-Standard 200-3 und ISO/IEC 27005:2022 definiert wird. ISO/IEC 27001:2022 Clause 6.1.2 verlangt darüber hinaus ausdrücklich, Bedrohungen im Rahmen der Risikoidentifikation zu berücksichtigen und die Ergebnisse zu dokumentieren.

Die Verordnung (EU) 2022/2554 (DORA) fordert in Artikel 8 von Finanzunternehmen eine laufende Identifikation und Klassifikation aller IKT-bezogenen Risiken, einschließlich der Bedrohungsquellen. Für Betreiber kritischer Infrastrukturen konkretisiert das BSI-IT-Sicherheitsgesetz 2.0 die Anforderungen über Sektoren-spezifische Anforderungen (B3S), die eine dokumentierte Bedrohungsanalyse als Nachweisgrundlage verlangen. Das NIST Cybersecurity Framework 2.0 (Funktion "Identify", Kategorie "Risk Assessment") empfiehlt ebenfalls eine kontinuierliche Bedrohungsanalyse als Fundament des organisationalen Risikomanagements.

Häufige Fragen

Was ist der Unterschied zwischen einer Bedrohung und einem Risiko?
Eine Bedrohung ist eine potenzielle Ursache eines Schadens, ein Risiko ist das Ergebnis der Kombination aus Bedrohung, Schwachstelle und möglicher Auswirkung. Nach ISO/IEC 27000:2018 und ISO/IEC 27005:2022 entsteht ein Risiko erst, wenn eine Bedrohung eine ausnutzbare Schwachstelle trifft und ein konkreter Schaden eintreten kann. Eine Bedrohung ohne Schwachstelle oder ohne schutzwürdiges Asset erzeugt kein Risiko.
Wie viele Bedrohungskategorien unterscheidet ISO/IEC 27005:2022?
ISO/IEC 27005:2022 listet in Annex C insgesamt 56 Bedrohungsbeispiele in sieben Kategorien: physische Bedrohungen (6), natürliche Bedrohungen (6), Infrastrukturausfälle (8), technisches Versagen (3), menschliche Handlungen (26), Kompromittierung von Funktionen oder Diensten (4) sowie organisatorische Bedrohungen (4). BSI IT-Grundschutz arbeitet mit 47 elementaren Gefährdungen (G 0.1 bis G 0.47), die inhaltlich weitgehend kompatibel sind.
Wie oft muss die Bedrohungsanalyse aktualisiert werden?
ISO/IEC 27005:2022 und BSI-Standard 200-3 fordern eine anlassbezogene Aktualisierung bei wesentlichen Änderungen der Bedrohungslage oder des Einsatzkontexts sowie eine regelmäßige Überprüfung, die in zertifizierten Organisationen typischerweise jährlich erfolgt. Der ENISA Threat Landscape Report, CERT-Bund-Warnmeldungen und die BSI-Lageberichte zur Informationssicherheit bieten dafür aktuelle Quellen.

Quellen & weiterführende Literatur

  1. ISO/IEC 27000:2018 Information security management systems Overview and vocabulary (Clause 3.74: threat)
  2. ISO/IEC 27005:2022 Information security, cybersecurity and privacy protection Guidance on managing information security risks
  3. BSI-Standard 200-3 Risikomanagement (Bundesamt für Sicherheit in der Informationstechnik)
  4. NIST Special Publication 800-30 Revision 1 Guide for Conducting Risk Assessments