Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Elementare Gefährdung · BSI IT-Grundschutz

G 0.35 — Nötigung, Erpressung oder Korruption

Aktualisiert am 4 Min. Geprüft von: Cenedril-Redaktion
A.5.15A.5.19A.5.20A.5.21A.5.23A.6.1A.8.1A.8.17A.8.20A.8.21A.8.22A.8.30 BSI IT-GrundschutzISO 27001ISO 27002

Ein externer Angreifer identifiziert einen Systemadministrator mit weitreichenden Zugriffsrechten und kontaktiert ihn über einen anonymen Kanal. Das Angebot: 50.000 Euro für die Einrichtung eines versteckten VPN-Zugangs zum internen Netzwerk. Der Administrator lehnt ab — aber die Tatsache, dass der Angriff möglich war, zeigt: Technische Sicherheitsmaßnahmen schützen nur so lange, wie die Menschen dahinter vertrauenswürdig handeln.

Nötigung, Erpressung oder Korruption (G 0.35) richten sich gegen die menschliche Komponente der Informationssicherheit. Technische Kontrollen können umgangen werden, wenn ein Insider unter Druck gesetzt oder gekauft wird.

Was steckt dahinter?

Nötigung, Erpressung und Korruption machen Menschen zum Werkzeug für Sicherheitsverletzungen. Während technische Angriffe Schwachstellen in Software oder Konfigurationen ausnutzen, zielen diese Bedrohungen auf Motivation und Verhalten der beteiligten Personen.

Angriffsformen

  • Nötigung — Androhung von Gewalt oder anderen Nachteilen, um eine Person zur Missachtung von Sicherheitsrichtlinien zu bringen. Kann sich gegen die Person selbst oder gegen Angehörige richten.
  • Erpressung — Ausnutzung einer Zwangslage (kompromittierende Informationen, finanzielle Schwierigkeiten) als Druckmittel für sicherheitswidrige Handlungen.
  • Korruption — Gezielte Bestechung von Mitarbeitenden oder Dienstleistern mit Geld, Geschenken oder anderen Vorteilen. Ziel: Zugang zu vertraulichen Informationen, Manipulation von Systemen oder Einrichtung von Hintertüren.

Schadensausmass

Der Schaden ist potenziell grenzenlos, weil eine korrumpierte Person innerhalb ihrer Berechtigungen handelt und technische Sicherheitsmaßnahmen umgehen kann. Alle drei Schutzziele sind betroffen: Vertrauliche Informationen können weitergegeben, Daten manipuliert und Systeme sabotiert werden. Besondere Gefahr besteht bei Personen in Vertrauenspositionen — Administratoren, Sicherheitsbeauftragte, Führungskräfte — deren Handlungen weniger hinterfragt werden.

Praxisbeispiele

Bestechung eines Rechenzentrumstechnikers. Ein Wettbewerber bietet einem Techniker, der im Rechenzentrum eines Cloud-Providers arbeitet, Geld für das Kopieren von Kundendaten auf einen USB-Stick. Der Techniker hat physischen Zugang zu den Servern und umgeht damit alle logischen Zugriffskontrollen. Nur die Videoüberwachung und ein Vier-Augen-Prinzip beim Zugang zu Kundensystemen hätten den Vorfall verhindern können.

Erpressung eines Administrators. Ein Angreifer erlangt Kenntnis über private Informationen eines Administrators und droht mit deren Veröffentlichung. Im Gegenzug soll der Administrator ein bestimmtes Benutzerkonto mit erweiterten Rechten anlegen. Der Administrator meldet den Vorfall seiner Führungskraft, die die zuständigen Behörden einschaltet.

Korruption in der Lieferkette. Ein Mitarbeiter eines IT-Dienstleisters, der für die Wartung einer Firewall zuständig ist, wird von einem Angreifer kontaktiert. Gegen Bezahlung richtet er eine subtile Firewall-Ausnahme ein, die bestimmten externen IP-Adressen den Zugang zum internen Netz ermöglicht. Die Änderung geht im regulären Change-Log unter, weil sie formal als Wartungsmaßnahme dokumentiert wird.

Relevante Kontrollen

Die folgenden ISO-27001-Kontrollen wirken dieser Gefährdung entgegen. (Die vollständige Liste der 12 zugeordneten Kontrollen findest du unten im Abschnitt „Abdeckende ISO-27001-Kontrollen”.)

Prävention:

Erkennung:

Reaktion:

BSI IT-Grundschutz

G 0.35 verknüpft der BSI-Grundschutzkatalog mit den folgenden Bausteinen:

  • ORP.2 (Personal) — Anforderungen an Sicherheitsüberprüfungen und Vertrauenswürdigkeit.
  • OPS.2.3 (Nutzung von Outsourcing) — Sicherheitsanforderungen an externe Dienstleister.
  • OPS.3.2 (Anbieten von Outsourcing) — Anforderungen an Dienstleister, die Outsourcing-Leistungen erbringen.
  • NET.1.2 (Netzmanagement) — Schutz der Netzwerkadministration vor Manipulation durch Innentäter.

Quellen

Abdeckende ISO-27001-Kontrollen

A.5.15 Zugriffskontrolle A.5.19 Informationssicherheit in Lieferantenbeziehungen A.5.20 Informationssicherheit in Lieferantenvereinbarungen A.5.21 Management der IKT-Lieferkette A.5.23 Informationssicherheit bei Cloud-Diensten A.6.1 Sicherheitsüberprüfung A.8.1 Benutzerendgeräte A.8.17 Uhrensynchronisation A.8.20 Netzwerksicherheit A.8.21 Sicherheit von Netzwerkdiensten A.8.22 Trennung von Netzwerken A.8.30 Ausgelagerte Entwicklung

Häufig gestellte Fragen

Wie unterscheidet sich Erpressung von Ransomware?

Ransomware ist eine technische Form der Erpressung (G 0.39), bei der Schadprogramme Daten verschlüsseln und ein Lösegeld fordern. Die Erpressung nach G 0.35 zielt auf Menschen: Ein Angreifer übt Druck auf eine Person aus, damit diese Sicherheitsmaßnahmen umgeht oder vertrauliche Informationen weitergibt. Beide Bedrohungen können kombiniert auftreten.

Wie kann man sich gegen Korruption in der IT schützen?

Funktionstrennung (Separation of Duties) ist die wirksamste Maßnahme: Keine einzelne Person sollte einen kritischen Prozess vollständig kontrollieren können. Regelmäßige Rotation von Verantwortlichkeiten, unangekündigte Audits und ein Vier-Augen-Prinzip für sensible Aktionen erschweren korruptes Handeln erheblich.

Sind Führungskräfte besonders gefährdet?

Ja, aus zwei Gründen. Erstens haben sie typischerweise Zugang zu besonders vertraulichen Informationen und weitreichende Entscheidungsbefugnisse. Zweitens sind sie durch ihre exponierte Position leichter identifizierbar und damit gezielter angreifbar. Besonders gefährlich wird es, wenn dieselbe Person sowohl Entscheidungs- als auch Kontrollbefugnisse hat.