Bedrohung
Englisch: Threat
Bedrohung ist nach ISO/IEC 27000:2018 Clause 3.74 eine potenzielle Ursache eines unerwünschten Ereignisses, das einem System oder einer Organisation schaden kann.
Normative Grundlage: ISO/IEC 27000:2018 Clause 3.74 + ISO/IEC 27005:2022 Clause 3.4
Hintergrund und normative Einordnung
Der Begriff Bedrohung hat seinen normativen Ursprung in der ISO/IEC 27000-Familie. ISO/IEC 27000:2018 definiert in Clause 3.74: "threat: potential cause of an unwanted incident, which may result in harm to a system or organisation." Diese Definition ist die Grundlage für alle nachgelagerten Normen der Reihe. ISO/IEC 27005:2022 operationalisiert den Begriff in Clause 3.4 und im risikobasierten Identifikationsprozess: Eine Bedrohung wird durch eine Bedrohungsquelle (natürliche Ereignisse, technisches Versagen, menschliches Handeln, organisatorisches Versagen) ausgelöst und richtet sich gegen Werte der Organisation. NIST SP 800-30 Rev. 1 definiert einen Threat ähnlich als "any circumstance or event with the potential to adversely impact organizational operations and assets, individuals, or other organizations through an information system." Beide Rahmenvorgaben stimmen darin überein, dass eine Bedrohung von ihrer bloßen Existenz her noch keinen Schaden erzeugt, sondern erst dann wirksam wird, wenn sie auf eine Schwachstelle trifft.
In der deutschen Compliance-Landschaft ist der Bedrohungsbegriff eng mit dem IT-Grundschutz des BSI verknüpft. BSI-Standard 200-3 übernimmt die Logik von ISO 27005 und referenziert den Katalog der 47 elementaren Gefährdungen aus dem IT-Grundschutz-Kompendium. Diese sind nach Bedrohungsklassen gegliedert und werden den Bausteinen des Kompendiums über eine Kreuztabelle zugeordnet. Ergänzend kategorisiert die ENISA im jährlichen Threat Landscape Report (zuletzt 2024) Bedrohungen nach operativer Relevanz: Sieben Hauptbedrohungsbereiche wurden 2024 identifiziert, angeführt von Angriffen auf die Verfügbarkeit (DDoS), Ransomware und Angriffen auf Daten. NIS-2 (Richtlinie EU 2022/2555) fordert in Artikel 21 von wesentlichen und wichtigen Einrichtungen, dass ihre Risikomanagementmaßnahmen von einer Analyse der Bedrohungslage ausgehen. Eine strukturierte Bedrohungsanalyse ist damit nicht nur methodische Best Practice, sondern regulatorische Pflicht. SECURAM unterstützt Unternehmen dabei im Rahmen der ISO 27005 Risikomanagement-Beratung.
Normative Bezüge:
Vorgehen in der Praxis
Die Bedrohungsanalyse folgt einem vierstufigen Prozess, der aus ISO/IEC 27005:2022, BSI-Standard 200-3 und NIST SP 800-30 Rev. 1 abgeleitet ist. Er beginnt mit der Identifikation aller relevanten Bedrohungen, schreitet zur Kategorisierung fort, analysiert die Bedrohungsquellen und schließt mit der Einschätzung der Eintrittswahrscheinlichkeit. Erst mit diesem abgeschlossenen Prozess liegen die Eingangsdaten für die Risikoanalyse vor.
Ein Bedrohungskatalog verliert ohne regelmäßige Aktualisierung seinen Wert, da neue Angriffstechniken, veränderte Tätergruppen und geopolitische Entwicklungen das Bedrohungsbild kontinuierlich verändern, wie der ENISA Threat Landscape Report jährlich belegt.
Abgrenzung zu verwandten Begriffen
| Begriff | Fokus | Verhältnis zu Bedrohung |
|---|---|---|
| Schwachstelle (Vulnerability) | Ausnutzbare Schwäche in einem System, Prozess oder einer Kontrolle | Die Schwachstelle ist die notwendige Gegenseite zur Bedrohung: Erst wenn eine Bedrohung auf eine Schwachstelle trifft, entsteht ein Risiko. ISO/IEC 27000:2018 Clause 3.77 definiert Vulnerability als "weakness of an asset or control that can be exploited by one or more threats." Eine Bedrohung ohne ausnutzbare Schwachstelle erzeugt kein Risiko, eine Schwachstelle ohne aktive Bedrohung ebenfalls nicht. |
| Risiko (Risk) | Wirkung von Ungewissheit auf Ziele (ISO 31000) als Funktion von Bedrohung, Schwachstelle und Auswirkung | Das Risiko ist das Ergebnis der Kombination aus Bedrohung, Schwachstelle und möglichem Schaden. ISO/IEC 27005:2022 Clause 7.3 beschreibt Risiko als Produkt aus Eintrittswahrscheinlichkeit und Auswirkung. Die Bedrohung ist damit Eingangsgröße der Risikoanalyse, nicht das Risiko selbst. |
| Angriff (Attack) | Tatsächlicher, absichtlicher Versuch, eine Schwachstelle auszunutzen | Der Angriff ist die Realisierung einer intentionalen Bedrohung. Eine Bedrohung ist das Potenzial, ein Angriff ist das Ereignis. MITRE ATT&CK katalogisiert reale Angriffstechniken und -taktiken und hilft damit, Bedrohungsszenarien aus der Bedrohungsanalyse zu konkretisieren. |
Typische Fehler und wie ihr sie vermeidet
- Nur technische Bedrohungen erfasst: Viele Bedrohungsanalysen konzentrieren sich ausschließlich auf technische Angriffsvektoren wie Malware oder Netzwerkangriffe. ISO/IEC 27005:2022 Annex C und der BSI-Katalog G 0.1 bis G 0.47 belegen, dass natürliche Ereignisse (Feuer, Überschwemmung), organisatorische Mängel (Fehlplanung, Personalausfall) und menschliche Fehlhandlungen gleichwertige Bedrohungskategorien sind, die im Risikobild fehlen, wenn sie ausgeblendet werden.
- Bedrohungskatalog nicht aktualisiert: Ein einmal erstellter Bedrohungskatalog wird über Jahre unverändert verwendet, obwohl sich Angriffsmethoden und Tätergruppen laufend weiterentwickeln. ENISA Threat Landscape 2024 zeigt, dass Angriffe auf die Verfügbarkeit (DDoS) erstmals Ransomware als häufigsten Angriffstyp überholten und KI-gestützte Social-Engineering-Angriffe stark zunahmen. Ohne Aktualisierung fehlen solche Entwicklungen im Risikobild.
- Bedrohung nicht mit Assetwert verknüpft: Bedrohungen werden häufig abstrakt dokumentiert, ohne Bezug zu den betroffenen Werten (Assets) und deren Schutzbedarf. ISO/IEC 27005:2022 Clause 7.2 im assetbasierten Ansatz und BSI-Standard 200-3 Kapitel 4 verlangen jedoch, dass Bedrohungen immer in Bezug auf konkrete Zielobjekte bewertet werden, da die Relevanz einer Bedrohung vom Wert des bedrohten Assets abhängt.
- Bedrohungsquelle nicht charakterisiert: Die Bedrohung wird benannt, ohne die zugehörige Bedrohungsquelle (Threat Source) zu beschreiben. Dabei sind Motivation, Fähigkeiten und Ressourcen des Angreifers entscheidend für die Bewertung der Eintrittswahrscheinlichkeit. NIST SP 800-30 Rev. 1 Anhang D listet systematisch Bedrohungsquellen-Typen und deren charakteristische Eigenschaften, die für eine belastbare Wahrscheinlichkeitsbewertung benötigt werden.
Relevanz im regulatorischen Kontext
Die Richtlinie (EU) 2022/2555 (NIS-2) verpflichtet in Artikel 21 wesentliche und wichtige Einrichtungen zu risikobasierten Cybersicherheitsmaßnahmen. Dazu gehört ausdrücklich die Risikoanalyse als Teil eines umfassenden Ansatzes zur Bewältigung von Cybersicherheitsrisiken. Eine solche Risikoanalyse setzt die strukturierte Identifikation und Bewertung von Bedrohungen voraus. Auf nationaler Ebene konkretisiert das BSI-Gesetz (BSIG) diese Anforderung und verweist auf den Stand der Technik, der für ISO-zertifizierte Organisationen durch BSI-Standard 200-3 und ISO/IEC 27005:2022 definiert wird. ISO/IEC 27001:2022 Clause 6.1.2 verlangt darüber hinaus ausdrücklich, Bedrohungen im Rahmen der Risikoidentifikation zu berücksichtigen und die Ergebnisse zu dokumentieren.
Die Verordnung (EU) 2022/2554 (DORA) fordert in Artikel 8 von Finanzunternehmen eine laufende Identifikation und Klassifikation aller IKT-bezogenen Risiken, einschließlich der Bedrohungsquellen. Für Betreiber kritischer Infrastrukturen konkretisiert das BSI-IT-Sicherheitsgesetz 2.0 die Anforderungen über Sektoren-spezifische Anforderungen (B3S), die eine dokumentierte Bedrohungsanalyse als Nachweisgrundlage verlangen. Das NIST Cybersecurity Framework 2.0 (Funktion "Identify", Kategorie "Risk Assessment") empfiehlt ebenfalls eine kontinuierliche Bedrohungsanalyse als Fundament des organisationalen Risikomanagements.
Häufige Fragen
Was ist der Unterschied zwischen einer Bedrohung und einem Risiko?
Wie viele Bedrohungskategorien unterscheidet ISO/IEC 27005:2022?
Wie oft muss die Bedrohungsanalyse aktualisiert werden?
Quellen & weiterführende Literatur
- ISO/IEC 27000:2018 Information security management systems Overview and vocabulary (Clause 3.74: threat)
- ISO/IEC 27005:2022 Information security, cybersecurity and privacy protection Guidance on managing information security risks
- BSI-Standard 200-3 Risikomanagement (Bundesamt für Sicherheit in der Informationstechnik)
- NIST Special Publication 800-30 Revision 1 Guide for Conducting Risk Assessments