Was ist ein Lage­bild?

Ein Lage­bild der IT-Sicher­heit ist eine struk­tu­rierte und aktu­elle Darstel­lung der Bedro­hungs- und Risi­ko­lage im Bereich IT-Sicher­heit. Es fasst rele­vante Infor­ma­tionen zu Schwach­stellen, Angriffen, Vorfällen und Risiken zusammen. Dabei werden sowohl interne als auch externe Quellen berück­sich­tigt und bewertet. Ziel ist es, einen klaren Über­blick über die Sicher­heits­lage zu geben und daraus Hand­lungs­be­darfe abzu­leiten.

Warum braucht es ein Lage­bild?

Ein Lage­bild ist notwendig, um Gefahren früh­zeitig zu erkennen und Risiken gezielt zu bewerten. Es hilft dabei, Sicher­heits­maß­nahmen zu prio­ri­sieren und bietet Entschei­dungs­trä­gern eine fundierte Basis für sicher­heits­re­le­vante Entschei­dungen. Zudem erfüllen Orga­ni­sa­tionen damit oft gesetz­liche oder regu­la­to­ri­sche Anfor­de­rungen, wie sie z.B. für KRITIS-Betreiber gelten. Im Krisen­fall unter­stützt es ein schnelles und koor­di­niertes Handeln.

Zusam­men­füh­rung & Analyse
Das IT-Lage­bild basiert auf der Gesamt­heit der verfüg­baren Infor­ma­tionen, die zusam­men­ge­fügt, analy­siert und bewertet werden. Diese Daten ermög­li­chen eine struk­tu­rierte Entschei­dungs­fin­dung und stellen sicher, dass rele­vante Bedro­hungen und Schwach­stellen früh­zeitig iden­ti­fi­ziert werden.
Gover­nance & Compli­ance
Die Beur­tei­lung der IT-Sicher­heit dient als zentrale Grund­lage für die Gover­nance- und Compli­ance-Prozesse im IT-Betrieb. Sie bildet das Funda­ment für ein effek­tives Notfall­ma­nage­ment, insbe­son­dere bei der Reak­tion auf IT-Sicher­heits­vor­fälle, und trägt somit zur Resi­lienz des Unter­neh­mens bei.
Dyna­mi­sche Aktua­li­sie­rung
Ein effek­tives Lage­bild ist kein stati­sches Produkt, sondern ein konti­nu­ier­li­cher Prozess. Es berück­sich­tigt fort­lau­fend die Anfor­de­rungen des Geschäfts­mo­dells, um auf neue Bedro­hungen oder Verän­de­rungen in der IT-Infra­struktur zu reagieren. Dies spie­gelt die Notwen­dig­keit wieder, ein Lage­bild in Echt­zeit und mit dyna­mi­scher Aktua­li­sie­rung zu pflegen.
Schnitt­stellen & Inter­ak­tionen
Ein IT-Lage­bild umfasst zahl­reiche Schnitt­stellen und Inter­ak­tionen, sowohl inner­halb des Unter­neh­mens als auch mit externen Akteuren. Diese inter­dis­zi­pli­näre Kommu­ni­ka­tion ist entschei­dend, um ein gemein­sames Lage­ver­ständnis zu schaffen und Planungs­pro­zesse effektiv zu unter­stützen.
Präven­tion & Resi­li­en­z­stei­ge­rung
Eine laufende Lage­be­ur­tei­lung trägt dazu bei, Bedro­hungen früh­zeitig zu erkennen, entspre­chende Warnungen auszu­geben und konkrete Maßnahmen zur Verbes­se­rung der IT-Sicher­heit zu liefern. Dies stärkt nicht nur die Präven­tion, sondern erhöht auch die Resi­lienz des gesamten Unter­neh­mens, indem es auf poten­zi­elle Sicher­heits­vor­fälle vorbe­reitet ist.

Wer braucht ein Lage­bild?

Ein Lage­bild benö­tigen Unter­nehmen und Behörden, um ihre IT-Sicher­heits­lage konti­nu­ier­lich zu über­wa­chen und Risiken zu managen. Beson­ders wichtig ist es für KRITIS-Betreiber, da sie gesetz­lich verpflichtet sind, ihre Sicher­heits­lage regel­mäßig zu doku­men­tieren und zu bewerten. Auch Führungs­kräfte, CIOs, CISOs sowie IT-Sicher­heits- und Inci­dent-Response-Teams nutzen es als Entschei­dungs- und Arbeits­grund­lage. Darüber hinaus verlangen oft auch Aufsichts­be­hörden, Versi­che­rungen oder Audi­toren Einblicke in solche Lage­bilder.

Bedro­hungen

… für Cyber­vor­fälle

Mass­nahmen

… gegen Cyber­an­griffe

Risiko­manage­ment

Bewer­tung, Steue­rung und Über­wa­chung

Lage­bilder

… öffent­liche Lage­bilder

Digi­ta­li­sie­rung – Vernet­zung – Bildung

Bedro­hungen für Cyber­vor­fälle

Die Gefähr­dungen für ein Unter­nehmen sind viel­fältig. Dennoch stellen die Gefahren aus dem Cyber­space eine außer­or­dent­liche Heraus­for­de­rung, beson­ders für klei­nere und mitt­lere Unter­nehmen dar. Im Internet sind „alle gleich“, da es gerade die globale Vernet­zung erlaubt von jedem Ort des Planeten auf alle im Internet ange­bunden Orga­ni­sa­tionen zuzu­greifen. So sind bei breit­flä­chigen Angriffen, meist alle Orga­ni­sa­tionen gleich betroffen. In der Abwehr kommt es jedoch aufgrund der verschieden großen Inven­ti­ons­mög­lich­keiten der Unter­nehmen zu Unter­schieden im Niveau der Cyber­si­cher­heit bzw. dem Grad der Absi­che­rung gegen Cyber­ge­fahren.

Daten­be­dro­hungen

.. umfassen den Dieb­stahl, die Mani­pu­la­tion oder die Zerstö­rung sensi­bler Infor­ma­tionen.

Beispiele sind Daten­schutz­ver­let­zungen, Insider-Bedro­hungen oder Phis­hing-Angriffe, die auf Zugang zu geschützten Daten abzielen.

Denial of Service (DOS)

Ein Angriff, bei dem ein System durch eine Über­las­tung von Anfragen unzu­gäng­lich gemacht wird. Ziel ist es, legi­time Benutzer vom Zugriff abzu­halten.

Distri­buted Denial of Service (DDOS)

Ähnlich wie ein DOS, aber mit mehreren Geräten, oft aus einem Botnetz, die den Angriff gleich­zeitig ausführen.

Reflected Denial of Service (RDOS)

Eine Varia­tion, bei der der Angreifer Anfragen an unbe­tei­ligte Systeme sendet, die dann mit massiven Antworten das Ziel­system über­fluten.

Malware

Ein Über­be­griff für schäd­liche Soft­ware, die entwi­ckelt wurde, um Systeme zu beschä­digen, Infor­ma­tionen zu stehlen oder unbe­fugten Zugriff zu gewähren. Zu den Arten gehören Viren, Trojaner, Spyware und Würmer.

Ransom­ware

Schäd­liche Soft­ware, die Daten eines Opfers verschlüs­selt oder den Zugriff darauf sperrt. Die Angreifer fordern ein Löse­geld, oft in Kryp­to­wäh­rungen, um den Zugriff wieder frei­zu­geben.

Bekannte Beispiele sind WannaCry oder LockBit.

Forgotten or Inse­cu­rely Managed Infor­ma­tion

Ein Angriffs­vektor, der auf Ausnut­zung schlecht verwal­teter oder verges­sener (alter) Sicher­heits­in­for­ma­tionen, auf alte (nicht mehr aktive) Systeme oder auf Fehl­kon­fi­gu­ra­tionen oder auf mangelnde Aktua­li­sie­rung aktiver Systeme basiert.

Social Engi­nee­ring Threats

Tech­niken, bei denen Menschen durch Mani­pu­la­tion dazu gebracht werden, vertrau­liche Infor­ma­tionen preis­zu­geben oder schäd­liche Aktionen auszu­führen. Beispiele sind Phis­hing-E-Mails, Pretexting oder Baiting.

Supply Chain Attack

Ein Angriff, der auf Schwach­stellen in der Liefer­kette abzielt, beispiels­weise durch kompro­mit­tierte Soft­ware-Updates oder infi­zierte Hard­ware­kom­po­nenten.

Ziel ist es, Zugang zu den Systemen der Endnutzer zu erlangen.

Web Threats

Bedro­hungen, die über das Internet auftreten, wie Cross-Site-Scrip­ting (XSS), SQL-Injec­tion, Man-in-the-Middle-Angriffe oder Drive-by-Down­loads.

Sie zielen auf die Kompro­mit­tie­rung von Webseiten oder Benut­zer­in­for­ma­tionen ab.

Zero-Day

Eine Sicher­heits­lücke, die einem Soft­ware­her­steller unbe­kannt ist und von Angrei­fern ausge­nutzt wird, bevor ein Patch verfügbar ist. Zero-Day-Angriffe sind beson­ders gefähr­lich, da keine Abwehr­maß­nahmen exis­tieren.

Digi­ta­li­sie­rung – Vernet­zung – Bildung

Maßnahmen gegen Cyber­an­griffe

IT-Sicher­heits­stra­te­gien sollten nicht nur als tech­ni­sche Notwen­dig­keit, sondern als grund­le­gender Bestand­teil jeder Geschäfts­stra­tegie betrachtet werden. Die digi­tale Bedro­hungs­land­schaft verän­dert sich ständig, weshalb es wichtig ist, Sicher­heits­maß­nahmen regel­mäßig zu über­prüfen und anzu­passen.

Ein ganz­heit­li­cher Ansatz zur IT-Sicher­heit umfasst dabei nicht nur direkte Schutz­maß­nahmen, wie die aktive Vertei­di­gung sondern auch reak­tive Maßnahmen und vor allem Präven­tion.

Dieser zykli­sche und ganz­heit­liche Ansatz hilft dabei, ein robustes Sicher­heits­netz aufzu­bauen, das Ihre Orga­ni­sa­tion lang­fristig schützt und die Sicher­heit und Wider­stands­fä­hig­keit Ihrer IT-Systeme und somit Ihrer Geschäfts­pro­zesse aufrecht­erhält.

Präven­tion

Präven­tion umfasst alle Maßnahmen, die darauf abzielen, poten­zi­elle Bedro­hungen und Schwach­stellen im Vorfeld zu erkennen und zu schließen. Dazu gehören

  • die Sensi­bi­li­sie­rung und
  • Schu­lung von Mitar­bei­tern im sicheren Umgang mit Systemen und Daten,
  • die Imple­men­tie­rung klarer Sicher­heits­richt­li­nien sowie
  • tech­ni­sche Maßnahmen (Fire­walls, Anti­virus-Programm, etc.)

Ein weiterer wesent­li­cher Bestand­teil der Präven­tion ist die regel­mä­ßige Risi­ko­be­wer­tung, um Schwach­stellen früh­zeitig zu iden­ti­fi­zieren und gezielt zu adres­sieren.

Aktive Vertei­di­gung

Aktive Vertei­di­gung kommt ins Spiel, wenn trotz präven­tiver Maßnahmen eine Bedro­hung auftritt.

Hierbei handelt es sich um dyna­mi­sche Maßnahmen, die in Echt­zeit durch­ge­führt werden, um Angriffe abzu­wehren oder zumin­dest ihre Auswir­kungen zu mini­mieren. Dazu zählen Moni­to­ring- und Erken­nungs­sys­teme wie Intru­sion-Detec­tion-Systeme (IDS) oder Secu­rity-Infor­ma­tion-and-Event-Manage­ment-Systeme (SIEM), die unge­wöhn­liche Akti­vi­täten oder Anoma­lien im eigenen Netz sofort erkennen können.

Auto­ma­ti­sierte Mecha­nismen wie das Blockieren verdäch­tiger IP-Adressen und die Netz­werk­seg­men­tie­rung helfen, die Ausbrei­tung eines Angriffs einzu­schränken.

Reak­tive Gegen­maß­nahmen

Reak­tive Gegen­maß­nahmen greifen, sollte es trotz aller Vorkeh­rungen zu einem Sicher­heits­vor­fall kommen.

Diese zielen darauf ab, den entstan­denen Schaden zu begrenzen und (kriti­sche) Systeme möglichst schnell wieder­her­zu­stellen. Dabei stellt ein struk­tu­rierter Inci­dent Response Plan (WER WANN WAS WIE bei welcher Art Vorfall machen MUSS) sicher, dass Sicher­heits­vor­fälle effi­zient bear­beitet werden.

Während Wieder­her­stel­lungs­maß­nahmen wie die Repa­ratur beschä­digter Systeme und die Wieder­her­stel­lung verlo­rener Daten den normalen Betrieb wieder­her­stellen, helfen foren­si­sche Analysen im Nach­gang eines Angriffs dabei, die genauen Ursa­chen des Vorfalls zu verstehen und so aus Fehlern zu lernen.

Anschlie­ßend können die Erkennt­nisse aus dem Vorfall genutzt werden, um präven­tive Maßnahmen zu verbes­sern und so ähnliche Vorfälle in der Zukunft zu verhin­dern.

B - Buchstabe aus BERLIN
Buchstabe E aus BERLIN
Buchstabe R aus BERLIN
Buchstabe L aus BERLIN
Buchstabe I aus BERLIN
Buchstabe N aus BERLIN

Digi­ta­li­sie­rung – Vernet­zung – Bildung

Risiko­management

Dieser Prozess dient der Iden­ti­fi­ka­tion, Bewer­tung, Steue­rung und Über­wa­chung von Risiken, um sie zu verhin­dern, zu mini­mieren oder kontrol­lierbar zu machen.

Dieser Prozess ist zyklisch aufge­baut, was bedeutet, dass er fort­lau­fend wieder­holt wird. Damit wird sicher­ge­stellt, dass neue Risiken erkannt und bestehende Risiken konti­nu­ier­lich bewertet und gesteuert werden.

1. Risiko­analyse

Im ersten Schritt werden poten­zi­elle Risiken iden­ti­fi­ziert, die das Unter­nehmen oder Projekt betreffen könnten. Hierbei werden Schwach­stellen, Bedro­hungen und mögliche Ursa­chen unter­sucht, z. B. durch Brain­stor­ming, Check­listen oder histo­ri­sche Daten.

2. Risiko­beurteilung

Die iden­ti­fi­zierten Risiken werden bewertet und prio­ri­siert. Dies geschieht durch die Analyse der Wahr­schein­lich­keit ihres Eintre­tens und der mögli­chen Auswir­kungen. Ziel ist es, die kritischsten Risiken zu erkennen, um sie gezielt zu adres­sieren.

3. Risiko­steuerung

In diesem Schritt werden Maßnahmen entwi­ckelt und imple­men­tiert, um die Risiken zu mini­mieren, zu vermeiden, zu über­tragen (z. B. durch Versi­che­rungen) oder zu akzep­tieren. Die Steue­rung umfasst sowohl präven­tive als auch reak­tive Ansätze.

4. Risiko­überwachung

Nachdem Maßnahmen einge­führt wurden, werden die Risiken konti­nu­ier­lich über­wacht. Ände­rungen in der Risi­ko­land­schaft oder neue Risiken werden iden­ti­fi­ziert, um den Prozess anzu­passen und sicher­zu­stellen, dass die Maßnahmen weiterhin wirksam sind.

Digi­tale Resi­lienz stärken – Cyber Secu­rity für die Indus­trie von morgen –Digi­tale Resi­lienz stärken – Cyber Secu­rity für die Indus­trie von morgen –

Digi­ta­li­sie­rung – Vernet­zung – Bildung

Lage­bilder

Im Themen­feld Cyber­si­cher­heit haben sich bereits mehrere Lage­bilder – jedoch mit unter­schied­li­chen Betrach­tungs­ho­ri­zonten – etabliert. Diese umfassen sowohl allge­mein verständ­liche Auswer­tungen für die Öffent­lich­keit bzw. den einzelnen Bürgern als auch umfas­sen­dere und komple­xere Aufstel­lungen für Fach­leute aus dem Cyber­si­cher­heits­be­reich. Lage­bilder werden von verschie­denen Akteuren erstellt, darunter:

  • Behörden, Lage­zen­tren, CERTs

  • Fach­be­hörden (BSI, BKA, LKA)

  • Hersteller von Soft­ware für IT-Sicher­heit

  • Tele­kom­mu­ni­ka­ti­ons­un­ter­nehmen

  • IT-Sicher­heits­dienst­leister

  • Forschungs­ein­rich­tungen

  • Fach­ver­bände

  • Stif­tungen / Think Tanks

  • Versi­che­rungen

BSI – Statis­tik­be­richte

Bundesamt für Sicher­heit in der Infor­ma­ti­ons­technik

Neben dem jähr­li­chen BSI-Lage­be­richt „Die Lage der IT-Sicher­heit in Deutsch­land” erar­beitet das BSI in Koope­ra­tion mit der fran­zö­si­schen Part­ner­be­hörde ANSSI auch ein gemein­sames deutsch-fran­zö­si­sches Lage­bild. Zusätz­lich veröf­fent­licht das BSI regel­mäßig statis­ti­sche Daten und Kenn­zahlen zu Themen wie Malware oder Spam.

BSI – Lage­be­richt Deutsch­land

Bundesamt für Sicher­heit in der Infor­ma­ti­ons­technik

Jähr­lich bietet das Bundesamt für Sicher­heit in der Infor­ma­ti­ons­technik (BSI) in seinem Bericht zur Lage der IT-Sicher­heit in Deutsch­land einen detail­lierten Über­blick über die aktu­ellen Bedro­hungen im Cyber­raum.

Echt­zeit Angriffs­tracker

Echt­zeit-Angriffs­tracker sind Tools, die es ermög­li­chen, Cyber­an­griffe und Bedro­hungen in Echt­zeit zu über­wa­chen und zu analy­sieren. Sie liefern wich­tige Infor­ma­tionen über aktu­elle Angriffs­ak­ti­vi­täten und helfen dabei, poten­zi­elle Sicher­heits­ri­siken früh­zeitig zu erkennen. Durch die konti­nu­ier­liche Über­wa­chung können Unter­nehmen schneller auf Bedro­hungen reagieren und ihre IT-Sicher­heits­stra­te­gien verbes­sern. Verant­wort­liche in der IT bzw. die Geschäfts­lei­tung können sich mit deren Hilfe zur aktu­ellen Lage infor­mieren.

Bundes­po­li­zei­liche Krimi­nal­sta­tistik

Hier werden alle von der Polizei bear­bei­teten Fälle aufge­nommen. Leider sind die Daten – auch im jähr­li­chen Vergleich – nur bedingt aussa­ge­kräftig. Zwar lässt sich meist eine allge­meine Tendenz auslesen, jedoch ist das Anzei­ge­ver­halten der Unter­nehmen (meist aus Image­ver­lust­ängsten) sehr schlecht und kann von Jahr zu Jahr vari­ieren.

Poli­zei­liche Krimi­nal­sta­tistik Berlin

In der Poli­zei­li­chen Krimi­nal­sta­tistik (PKS) Berlin finden Infor­ma­tionen zum „Tatmittel” Internet und/oder IT-Geräten, bei denen das Internet oder IT-Geräte als Tatmittel genutzt wurden sowie „Delikte im Zusam­men­hang mit dem Internet” und der „Verbrei­tung porno­gra­fi­scher Inhalte”. Diese Statis­tiken geben Aufschluss über die Nutzung des Inter­nets zur Bege­hung von Straf­taten, aber liefern keine detail­lierten Analysen spezi­fi­scher Cyber­si­cher­heits­be­dro­hungen.