Eine Schwachstelle (Vulnerability) ist eine Schwäche in einem System, einer Anwendung, einem Prozess oder einer Organisation, die von einer Bedrohung ausgenutzt werden kann. Technische Schwachstellen sind z. B. fehlende Patches, unsichere Konfigurationen oder Programmierfehler. Organisatorische Schwachstellen umfassen fehlende Schulungen, unklare Zuständigkeiten oder lückenhafte Prozesse. Im ISMS identifizierst Du Schwachstellen im Rahmen der Risikoidentifikation und führst sie im Schwachstellenregister. Der ISMS-Wizard von Cenedril verknüpft Schwachstellen automatisch mit Bedrohungen und Assets zu Risikoszenarien.
Schwachstelle (Vulnerability)
Hier verwendet
ISO-27001-Kontrollen 10
- A.5.21 — IS in der IKT-Lieferkette
- A.5.27 — Lernen aus IS-Vorfällen
- A.5.36 — Einhaltung von IS-Richtlinien
- A.6.8 — Meldung von IS-Vorfällen
- A.7.1 — Physische Sicherheitsgrenzen
- A.7.2 — Physischer Zugang
- A.8.19 — Installation von Software auf Betriebssystemen
- A.8.25 — Sicherer Entwicklungslebenszyklus
- A.8.30 — Ausgelagerte Entwicklung
- A.8.8 — Verwaltung technischer Schwachstellen
Bedrohungen 9
- G 0.15 — Abhören
- G 0.16 — Diebstahl von Geräten, Datenträgern oder Dokumenten
- G 0.22 — Manipulation von Informationen
- G 0.23 — Unbefugtes Eindringen in IT-Systeme
- G 0.27 — Ressourcenmangel
- G 0.28 — Software-Schwachstellen oder -Fehler
- G 0.39 — Schadprogramme
- G 0.40 — Verhinderung von Diensten (Denial of Service)
- G 0.47 — Schädliche Seiteneffekte IT-gestützter Angriffe