Schwachstellen
 

"Schwachstelle" bezeichnet alle Sicherheitslücken von Werten, die von Bedrohungen genutzt werden können. Eine derartige Ausnutzung kann schlimme Auswirkungen haben. Regelmäßig werden neue Schwachstellen entdeckt.

Man kann sie in verschiedene Gruppen einteilen.

Menschliche Schwachstellen

Menschliche Schwachstellen sind grundsätzlich Gefühle, Verhaltensweisen und Instinkte, die seit jeher das Überleben der Menschheit sichern. Leider sind diese Schwachstellen so eng mit dem Menschsein verknüpft, dass sie sehr häufig für Betrugsmaschen oder Social Engineering missbraucht werden. Wir reden hier von Schwachstellen im Kontext der Informationssicherheit. (KMU: siehe PME: Voir der Mensch gegenüber Bedrohungen.)

Zu diesen Schwachstellen zählen:

  • Angst (häufig durch Bedrohungen wie etwa "Scareware" ausgenutzt)

  • Mitleid

  • Neugier

  • Libido

  • Geld- und Habgier (häufig durch Bedrohungen wie etwa falsche Gewinnspiele oder Nigerianer ausgenutzt)

  • ...

Technische Schwachstellen

Diese Gruppe von Schwachstellen beinhaltet alle Schwachstellen, die mit der Benutzung von Technologien oder Lösungen (Hardware, Software) einhergehen. Viele Menschen beschäftigen sich mit der Erforschung von Schwachstellen. So werden Tag für Tag neue Sicherheitslücken entdeckt. (KMU: Lesen Sie auch Material und seine Bedrohungen und Programme gegenüber Bedrohungen)

Man kann aufzählen:

  • Vorhandensein von Schwachstellen auf Ebene der Programme oder Betriebssysteme, die von Schadsoftware ausgenutzt werden können, indem zum Beispiel schädliche Webseiten besucht werden;

  • Informations- und Kommunikationssysteme: Um eine einfache Kommunikation zwischen verschiedenen Systemen zu ermöglichen, werden oft zusätzliche Kommunikationsschichten angebracht. Diese können neue Schwachstellen mit sich bringen.

  • Komplexität der Regeln in Firewalls und Routern: Der Einsatz von Filtermethoden und Zugriffsregelungen kann die Gesamtsicht als schwierig gestalten.

Physikalische Shwachstellen

Diese Gruppe beinhaltet alle Schwachstellen, die mit unvorhersehbaren Zwischenfällen, wie Pannen, Unfällen oder absichtlicher Materialschädigung, zusammenhängen.

Als Reaktion auf diese Schwachstellen-Gruppe werden alle physischen Aspekte einer Gesellschaft analysiert, wie zum Beispiel Gebäudezugänge, EDV-Räume und -Ausstattung. Hier ist auch die Rede vom "Kontinuitätsplan". (KMU: siehe die Infrastruktur gegenüber Bedrohungen.)

Man kann aufzählen:

  • Nicht-Redundanz: Sei es wegen der Informationssysteme oder bezogen auf Programme oder physische Begebenheiten (Temperatur, Strom,...), die Nicht-Verfügbarkeit eines Servers oder einer Datenbank kann zum Erliegen der Dienste führen;

  • Mangel an Zugangskontrollen zu physischen Elementen: Der Zugang zum Gebäude, zu den EDV-Räumen, Anschlussräumen oder anderen, muss so eingeschränkt sein, dass (un)absichtliche Manipulation, die zum Verlust ebendieser Räumlichkeiten führen könnte, weitestgehend verhindert wird;

  • Schlechte Konservierung der Speichermedien: Die Speichermedien werden oft im EDV-Raum gelagert, was sie unbenutzbar macht, falls es hier zu einem Schadensfall kommt;

  • Schlechte Ressourcenverwaltung: Ressourcen müssen korrekt bemessen und überwacht werden;

  • Fehlende Verwaltung der Verkabelung: Die Abwesenheit der korrekten Verkabelungspläne kann zu unangebrachten Verbindungs-Unterbrechungen und also auch zur Bereitstellung von Ressourcen auf öffentlichen Netzwerken führen.