Elementare Gefährdung · BSI IT-Grundschutz

G 0.21 — Manipulation von Hard- oder Software

Aktualisiert am 17. April 2026 3 Min. Geprüft von: Cenedril-Redaktion

A.5.9A.5.14A.5.15A.5.24A.5.25A.5.28A.5.29A.6.6A.6.7A.7.2A.7.7A.7.8A.7.9A.7.10A.7.13A.8.1A.8.2A.8.7A.8.12A.8.15A.8.16A.8.17A.8.18A.8.20A.8.21A.8.23A.8.24A.8.27A.8.31 BSI IT-GrundschutzISO 27001ISO 27002

In einem Finanzunternehmen manipuliert ein Mitarbeiter die Transaktionssoftware. Die Änderung ist subtil: Bei bestimmten Überweisungen werden Cent-Beträge auf ein Drittkonto umgeleitet. Über Monate summieren sich die kleinen Beträge zu einer sechsstelligen Summe — und die Manipulation bleibt unentdeckt, weil niemand die Integrität der Software regelmäßig prüft.

Manipulation von Hard- oder Software umfasst jeden gezielten, heimlichen Eingriff mit dem Ziel, Systeme unbemerkt zu verändern. Das BSI führt diese Gefährdung als G 0.21. Die Motive reichen von Rache und Sabotage bis zur persönlichen Bereicherung.

Was steckt dahinter?

Manipulation ist der heimliche, gezielte Eingriff in ein System mit dem Ziel, sein Verhalten unbemerkt zu verändern. Das Entscheidende ist die Heimlichkeit: Der Manipulator will, dass die Änderung möglichst lange unentdeckt bleibt. Je tiefer die Kenntnisse des Täters über das System, desto subtiler und wirkungsvoller kann die Manipulation ausfallen.

Manipulationsformen

Hardware-Manipulation — Einbau von Hardware-Keyloggern zwischen Tastatur und Rechner, Austausch von Netzwerkkomponenten durch manipulierte Versionen, Installation von Skimming-Geräten an Geldautomaten oder Kartenlesern.
Software-Manipulation — Einschleusen von Backdoors in Anwendungen, Änderung von Konfigurationsdateien, Manipulation von Datenbank-Stored-Procedures, Installation verdeckter Remote-Access-Tools.
Firmware-Manipulation — Veränderung der Firmware von Netzwerkgeräten, Festplatten-Controllern oder BIOS/UEFI. Besonders persistent, weil Firmware-Änderungen Betriebssystem-Neuinstallationen überleben.
Supply-Chain-Manipulation — Eingriffe in die Lieferkette: Hardware wird vor der Auslieferung manipuliert, Software-Bibliotheken werden mit Schadcode versehen.

Schadensausmass

Manipulationen können alle drei Schutzziele betreffen. Die Auswirkungen sind umso gravierender, je später die Manipulation entdeckt wird. Eine manipulierte Buchungssoftware kann über Monate falsche Ergebnisse liefern, bevor der Fehler auffällt. Eine Backdoor in einem Server kann jahrelang unbemerkten Zugang ermöglichen. Manipulierte Industriesteuerungen können physische Schäden an Anlagen verursachen.

Praxisbeispiele

Hardware-Keylogger im Besprechungsraum. In einem Unternehmen wird im Besprechungsraum ein kleiner Hardware-Keylogger zwischen der Tastatur und dem Präsentationsrechner installiert. Jeder Mitarbeiter, der sich am Rechner anmeldet, gibt unwissentlich seine Zugangsdaten preis. Der Angreifer sammelt die Geräte regelmäßig ein und nutzt die erbeuteten Credentials, um auf vertrauliche Netzwerkbereiche zuzugreifen.

Manipulierte Datenbank-Abfrage. Ein verärgerterer Datenbankadministrator, dem gekündigt wurde, ändert kurz vor seinem letzten Arbeitstag eine Stored Procedure in der Finanzdatenbank. Die Änderung bewirkt, dass bei bestimmten Monatsabschlüssen Rundungsdifferenzen systematisch falsch verbucht werden. Der Fehler fällt erst bei der Jahresabschlussprüfung auf — Monate nach dem Ausscheiden des Mitarbeiters.

Firmware-Backdoor in Netzwerkgeräten. Ein Unternehmen kauft günstige Netzwerk-Switches über einen Zwischenhändler. Die Geräte funktionieren einwandfrei, enthalten aber eine modifizierte Firmware, die bei jeder Konfigurationsänderung eine Kopie an einen externen Server sendet. Die Backdoor wird erst entdeckt, als ein Sicherheitsaudit den ungewöhnlichen ausgehenden Datenverkehr auffällt.

Relevante Kontrollen

Die folgenden ISO-27001-Kontrollen wirken dieser Gefährdung entgegen. (Die vollständige Liste der 29 zugeordneten Kontrollen findest du unten im Abschnitt „Abdeckende ISO-27001-Kontrollen”.)

Prävention:

A.7.2 — Physische Zutrittskontrollen: Verhindern physischen Zugang zu Hardware für Unbefugte.
A.8.2 — Privilegierte Zugriffsrechte: Beschränkung administrativer Rechte auf das notwendige Minimum.
A.8.7 — Schutz gegen Schadsoftware: Erkennung und Blockierung manipulierter Software.
A.8.17 — Uhrzeitsynchronisation: Korrekte Zeitstempel sind Voraussetzung für die forensische Aufarbeitung von Manipulationen.
A.7.13 — Gerätewartung: Kontrollierte Wartungsprozesse verhindern unbefugte Eingriffe an der Hardware.

Erkennung:

A.8.15 — Protokollierung: Lückenlose Aufzeichnung von Systemänderungen und Zugriffen.
A.8.16 — Überwachungsaktivitäten: Integritätsüberwachung und verhaltensbasierte Analyse erkennen Anomalien.

Reaktion:

A.5.24 — Planung der Informationssicherheitsvorfallreaktion: Vorbereitete Reaktionspläne für den Fall erkannter Manipulationen.
A.5.28 — Sammlung von Beweismaterial: Forensische Sicherung von Beweisen für strafrechtliche oder arbeitsrechtliche Verfahren.

BSI IT-Grundschutz

G 0.21 verknüpft der BSI-Grundschutzkatalog mit den folgenden Bausteinen:

OPS.1.1.7 (Systemmanagement) — Anforderungen an die sichere Administration, einschließlich Vier-Augen-Prinzip und Protokollierung.
SYS.4.3 (Eingebettete Systeme) — Schutz vor Firmware-Manipulationen an eingebetteten Systemen und IoT-Geräten.
DER.1 (Detektion von sicherheitsrelevanten Ereignissen) — Anforderungen an die Erkennung von Manipulationen.
CON.1 (Kryptokonzept) — Kryptographische Integritätsschutzverfahren (Signaturen, Hashes).

Quellen

BSI IT-Grundschutz: Elementare Gefährdungen, G 0.21 — Originalbeschreibung der elementaren Gefährdung
ISO/IEC 27002:2022 Abschnitt 8.15 — Umsetzungshinweise zur Protokollierung
BSI: Empfehlungen für die Detektion von Cyber-Angriffen — Hinweise zur forensischen Aufarbeitung

Abdeckende ISO-27001-Kontrollen

A.5.9 Inventar der Informationswerte A.5.14 Informationstransfer A.5.15 Zugriffskontrolle A.5.24 Planung des Vorfallmanagements A.5.25 Bewertung von Sicherheitsereignissen A.5.28 Sammlung von Beweismitteln A.5.29 Informationssicherheit bei Störungen A.6.6 Vertraulichkeitsvereinbarungen A.6.7 Telearbeit A.7.2 Physischer Zutritt A.7.7 Aufgeräumter Schreibtisch und Bildschirm A.7.8 Platzierung und Schutz von Geräten A.7.9 Sicherheit von Werten außerhalb der Räumlichkeiten A.7.10 Speichermedien A.7.13 Instandhaltung von Geräten A.8.1 Benutzerendgeräte A.8.2 Privilegierte Zugriffsrechte A.8.7 Schutz gegen Schadsoftware A.8.12 Verhinderung von Datenleckagen A.8.15 Protokollierung A.8.16 Überwachung von Aktivitäten A.8.17 Uhrensynchronisation A.8.18 Nutzung privilegierter Hilfsprogramme A.8.20 Netzwerksicherheit A.8.21 Sicherheit von Netzwerkdiensten A.8.23 Webfilterung A.8.24 Einsatz von Kryptographie A.8.27 Sichere Systemarchitektur A.8.31 Trennung von Entwicklungs-, Test- und Produktionsumgebungen

Häufig gestellte Fragen

Wie unterscheidet sich Manipulation von Hardware von der Manipulation von Software?

Hardware-Manipulation erfordert physischen Zugang: Einbau von Keyloggern, Austausch von Komponenten, Manipulation von Geldautomaten (Skimming). Software-Manipulation kann auch remote erfolgen: Backdoors, modifizierte Konfigurationen, manipulierte Datenbanken. Beide Formen erfordern unterschiedliche Schutzmaßnahmen — physische Zugangskontrollen für Hardware, Integritätsüberwachung für Software.

Kann auch Firmware manipuliert werden?

Ja, und das ist besonders gefährlich. Firmware-Manipulationen überleben Neuinstallationen des Betriebssystems und sind mit Standard-Sicherheitssoftware kaum erkennbar. Gegenmaßnahmen sind Secure Boot, signierte Firmware-Updates und physische Zugangskontrolle zu den Geräten.

Wie erkenne ich, dass Software manipuliert wurde?

Integritätsüberwachung (File Integrity Monitoring) erkennt unerwartete Änderungen an System- und Konfigurationsdateien. Code-Signing und Signaturen stellen sicher, dass Software vom erwarteten Hersteller stammt. Verhaltensbasierte Analyse (EDR-Lösungen) erkennt ungewöhnliche Aktionen laufender Programme.