Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Elementare Gefährdung · BSI IT-Grundschutz

G 0.27 — Ressourcenmangel

Aktualisiert am 3 Min. Geprüft von: Cenedril-Redaktion
A.5.1A.5.2A.5.4A.5.5A.5.7A.5.9A.5.14A.5.15A.5.19A.5.20A.5.21A.5.24A.5.25A.5.26A.5.27A.5.28A.5.29A.5.30A.5.35A.5.36A.6.7A.6.8A.7.2A.7.5A.7.9A.7.11A.7.12A.7.13A.7.14A.8.1A.8.2A.8.3A.8.5A.8.6A.8.7A.8.9A.8.10A.8.14A.8.15A.8.17A.8.18A.8.19A.8.20A.8.21A.8.22A.8.23A.8.24A.8.25A.8.26A.8.27A.8.28A.8.29A.8.30A.8.31A.8.32A.8.34 BSI IT-GrundschutzISO 27001ISO 27002

Wenn Budget, Personal, Zeit oder Infrastruktur fehlen, erodiert die Informationssicherheit stillschweigend — oft lange bevor ein konkreter Vorfall eintritt.

Ressourcenmangel (G 0.27) betrifft den gesamten IT-Betrieb: von der Server-Kapazität über die Personalausstattung bis zur Finanzierung von Sicherheitsmaßnahmen. Im Regelbetrieb lassen sich Engpässe vorübergehend kompensieren. Unter Zeitdruck — etwa in einer Notfallsituation — werden sie zum kritischen Risiko.

Was steckt dahinter?

Ressourcenmangel wirkt als Verstärker für nahezu jede andere Bedrohung. Wenn die Grundausstattung einer Organisation — Personal, Budget, Infrastruktur, Zeit — nicht zu den Anforderungen passt, greifen auch die besten Sicherheitskonzepte ins Leere.

Betroffene Ressourcen

  • Personelle Ressourcen — Zu wenige Administratoren, fehlende Vertretungsregelungen, unbesetzte Sicherheitsrollen. Kritische Aufgaben wie Patch-Management, Log-Auswertung oder Notfallübungen bleiben liegen.
  • Technische Ressourcen — Nicht ausreichend dimensionierte Server, zu geringe Netzwerk-Bandbreite, fehlende Redundanz. Neue Anwendungen werden auf eine Infrastruktur aufgesetzt, die für die ursprüngliche Last ausgelegt war.
  • Finanzielle Ressourcen — Kein Budget für Ersatzteile, Lizenzverlängerungen oder externe Spezialisten. Im Insolvenzfall können selbst grundlegende Wartungsverträge nicht mehr bedient werden.
  • Zeitliche Ressourcen — Zu enge Projektpläne, die keine Zeit für Sicherheitstests lassen. Sicherheitsmaßnahmen werden „nachgeholt” — und dann nie umgesetzt.

Schadensausmass

Ressourcenmangel verursacht selten einen einzelnen, dramatischen Vorfall. Sein Schadensausmass entfaltet sich schleichend: Patches werden verspätet eingespielt, Monitoring-Alarme nicht zeitnah bearbeitet, Notfallpläne nicht getestet. Wenn dann ein konkreter Vorfall eintritt — ein Ransomware-Angriff, ein Hardwareausfall, eine Compliance-Prüfung — fehlt die Fähigkeit, angemessen zu reagieren.

Praxisbeispiele

Überlastete Administratoren. In einem Unternehmen ist ein einziger Administrator für Netzwerk, Server und Sicherheit zuständig. Protokolldateien werden nur alle paar Wochen geprüft. Ein Angreifer nutzt eine bekannte Schwachstelle aus, die seit Monaten ungepatcht ist. Der Einbruch fällt erst auf, als Kundendaten im Darknet auftauchen — Wochen nach dem initialen Zugriff.

Netzwerküberlastung durch neue Anwendungen. Eine Organisation führt eine Videokonferenz-Lösung ein, deren Bandbreitenbedarf bei der Netzwerkplanung nicht berücksichtigt wurde. In Stoßzeiten bricht das gesamte Netz zusammen, weil die Infrastruktur nicht skalieren kann. Geschäftskritische Anwendungen wie ERP und E-Mail sind stundenlang nicht erreichbar.

Kein Budget für Ersatzteile. Ein Unternehmen in finanziellen Schwierigkeiten kann keine Festplatten für ein in die Jahre gekommenes Speichersystem nachkaufen. Als eine Platte im RAID-Verbund ausfällt, gibt es keinen Ersatz. Ein zweiter Plattenausfall innerhalb weniger Tage führt zum Totalverlust des Arrays.

Relevante Kontrollen

Die folgenden ISO-27001-Kontrollen wirken dieser Gefährdung entgegen. (Die vollständige Liste der 56 zugeordneten Kontrollen findest du unten im Abschnitt „Abdeckende ISO-27001-Kontrollen”.)

Prävention:

Erkennung:

Reaktion:

BSI IT-Grundschutz

G 0.27 verknüpft der BSI-Grundschutzkatalog mit den folgenden Bausteinen:

  • ISMS.1 (Sicherheitsmanagement) — Anforderungen an die Bereitstellung von Ressourcen für das ISMS.
  • ORP.1 (Organisation) — Organisatorische Rahmenbedingungen und Personalausstattung.
  • DER.4 (Notfallmanagement) — Ressourcenplanung für Notfall- und Krisensituationen.
  • OPS.1.1.1 (Allgemeiner IT-Betrieb) — Grundlegende Anforderungen an die Ausstattung des IT-Betriebs.

Quellen

Abdeckende ISO-27001-Kontrollen

A.5.1 Informationssicherheitsrichtlinien A.5.2 Rollen und Verantwortlichkeiten A.5.4 Verantwortlichkeiten der Leitung A.5.5 Kontakt mit Behörden A.5.7 Bedrohungsintelligenz A.5.9 Inventar der Informationswerte A.5.14 Informationstransfer A.5.15 Zugriffskontrolle A.5.19 Informationssicherheit in Lieferantenbeziehungen A.5.20 Informationssicherheit in Lieferantenvereinbarungen A.5.21 Management der IKT-Lieferkette A.5.24 Planung des Vorfallmanagements A.5.25 Bewertung von Sicherheitsereignissen A.5.26 Reaktion auf Sicherheitsvorfälle A.5.27 Erkenntnisse aus Sicherheitsvorfällen A.5.28 Sammlung von Beweismitteln A.5.29 Informationssicherheit bei Störungen A.5.30 IKT-Bereitschaft für Geschäftskontinuität A.5.35 Unabhängige Überprüfung der Informationssicherheit A.5.36 Einhaltung von Richtlinien und Standards A.6.7 Telearbeit A.6.8 Meldung von Sicherheitsereignissen A.7.2 Physischer Zutritt A.7.5 Schutz gegen Umweltbedrohungen A.7.9 Sicherheit von Werten außerhalb der Räumlichkeiten A.7.11 Unterstützende Versorgungseinrichtungen A.7.12 Sicherheit der Verkabelung A.7.13 Instandhaltung von Geräten A.7.14 Sichere Entsorgung oder Wiederverwendung A.8.1 Benutzerendgeräte A.8.2 Privilegierte Zugriffsrechte A.8.3 Einschränkung des Informationszugangs A.8.5 Sichere Authentifizierung A.8.6 Kapazitätsmanagement A.8.7 Schutz gegen Schadsoftware A.8.9 Konfigurationsmanagement A.8.10 Löschung von Informationen A.8.14 Redundanz von informationsverarbeitenden Einrichtungen A.8.15 Protokollierung A.8.17 Uhrensynchronisation A.8.18 Nutzung privilegierter Hilfsprogramme A.8.19 Installation von Software auf Betriebssystemen A.8.20 Netzwerksicherheit A.8.21 Sicherheit von Netzwerkdiensten A.8.22 Trennung von Netzwerken A.8.23 Webfilterung A.8.24 Einsatz von Kryptographie A.8.25 Sicherer Entwicklungslebenszyklus A.8.26 Anforderungen an die Anwendungssicherheit A.8.27 Sichere Systemarchitektur A.8.28 Sicheres Programmieren A.8.29 Sicherheitstests in Entwicklung und Abnahme A.8.30 Ausgelagerte Entwicklung A.8.31 Trennung von Entwicklungs-, Test- und Produktionsumgebungen A.8.32 Änderungsmanagement A.8.34 Schutz bei Audit-Tests

Häufig gestellte Fragen

Wie unterscheidet sich Ressourcenmangel von Personalausfall?

Personalausfall (G 0.33) beschreibt den konkreten Wegfall einzelner Personen. Ressourcenmangel (G 0.27) ist breiter gefasst und umfasst neben personellen auch technische, zeitliche und finanzielle Engpässe. Beide Bedrohungen verstärken sich gegenseitig: Wer bereits unter Ressourcenmangel leidet, verkraftet einen Personalausfall deutlich schlechter.

Kann Ressourcenmangel auch vorsätzlich herbeigeführt werden?

Ja, und das BSI weist explizit darauf hin. Ein gezielt provozierter übermäßiger Bedarf an einem Betriebsmittel — etwa durch einen Denial-of-Service-Angriff (G 0.40) — kann Ressourcen systematisch überlasten. Die Abgrenzung zwischen fahrlässigem Mangel und vorsätzlicher Überlastung ist in der Praxis oft fließend.

Woran erkenne ich, dass Ressourcenmangel die Sicherheit gefährdet?

Typische Warnsignale: Sicherheitspatches werden erst Wochen nach Veröffentlichung eingespielt, Protokolldateien werden nur sporadisch geprüft, Notfallübungen finden nicht statt, offene Sicherheitsvorfälle bleiben länger als geplant ungelöst. Wenn das Tagesgeschäft die Sicherheitsarbeit verdrängt, ist der Ressourcenmangel bereits sicherheitsrelevant.