Gefährdung – Wann wird eine Bedrohung zum Risiko für mein Unternehmen?

Mensch | Technik | Sicherheit

Gefährdung – Wann wird eine Bedrohung zum Risiko für mein Unternehmen?

   Informationssicherheit    8. September 2025  |  0
Gefährdung

Gefährdungen verändern sich ständig, weil Bedrohungen und Schwachstellen in Bewegung bleiben.

Eine Gefährdung entsteht immer dann, wenn eine Bedrohung auf eine konkrete Schwachstelle trifft. Erst in diesem Moment wird aus einer theoretischen Gefahr ein echtes Risiko für das Unternehmen. Ob technische, organisatorische oder personelle Maßnahmen notwendig sind, zeigt sich also erst im Zusammenhang mit dieser Verbindung. Deshalb bildet die Analyse solcher Szenarien den Kern jeder fundierten Risikobewertung. Der Übergang von einer potenziellen zu einer realen Gefährdung ist fließend – und hängt maßgeblich von der Sicherheitslage im Unternehmen ab.

Was ist eine Gefährdung?

Eine Gefährdung beschreibt ein plausibles Angriffsszenario, bei dem eine reale Bedrohung auf eine konkrete Schwachstelle trifft. Dadurch entsteht die Möglichkeit eines Schadens für Systeme, Prozesse oder Daten. Es geht also nicht um abstrakte Risiken, sondern um nachvollziehbare Szenarien mit praktischer Relevanz. Erst diese Verbindung verwandelt eine Bedrohung in eine Gefährdung – und damit in ein Risiko, das aktiv gesteuert werden muss.

Bedrohung + Schwachstelle = Gefährdung

Nicht jede Bedrohung ist automatisch sicherheitsrelevant. Entscheidend ist, ob sie im konkreten Unternehmenskontext auf eine Schwachstelle trifft und so zu einer Gefährdung führt. Genau hier setzt die Gefährdungsbewertung an: Sie hilft, Risiken realistisch einzuschätzen und gezielt zu steuern. Dabei geht es um Fragen wie:

  • Wie wahrscheinlich ist es, dass eine Bedrohung tatsächlich wirkt?
  • Welche Schwachstellen existieren derzeit in unserer Umgebung?
  • Welche Systeme, Prozesse oder Daten wären im Ernstfall betroffen?

Die Antworten liefern den Kontext für die Risikobewertung. Nur wenn Gefährdungen nachvollziehbar beschrieben und dokumentiert sind, lassen sich Schutzmaßnahmen sinnvoll priorisieren – technisch, organisatorisch und wirtschaftlich.

Typische Ursachen für hohe Gefährdungslagen

Gefährdungen entstehen oft dort, wo Bedrohungen auf nicht geschlossene Lücken treffen. Besonders gefährlich wird es, wenn technische, organisatorische und menschliche Faktoren gleichzeitig wirken. Genau dieses Zusammenspiel potenziert die Risiken und macht Angriffe wahrscheinlicher.

Technische Schwachstellen
  • Veraltete oder ungepatchte Systeme enthalten bekannte Lücken, die mit einfachen Mitteln automatisiert ausgenutzt werden können.
  • Fehlkonfigurierte Server oder Dienste – etwa offene Ports oder Standardpasswörter – öffnen Angreifern Tür und Tor.
  • Fehlende Segmentierung im Netzwerk sorgt dafür, dass sich Angreifer ungehindert ausbreiten können, sobald sie einmal eingedrungen sind.
Mangelnde organisatorische Kontrolle
  • Unklare Zuständigkeiten in der IT-Sicherheit führen dazu, dass Schwachstellen lange unentdeckt bleiben.
  • Fehlende Richtlinien oder deren unzureichende Umsetzung schaffen Unsicherheit im Tagesgeschäft.
  • Externe Zugriffe durch Dienstleister und Partner bleiben oft unzureichend geprüft und stellen ein unterschätztes Risiko dar.
Menschliche Faktoren
  • Fehlende Awareness macht Mitarbeitende anfällig für Phishing und Social Engineering.
  • Schwache oder mehrfach verwendete Passwörter erleichtern Angreifern den Zugriff auf Konten.
  • Unachtsamer Umgang mit mobilen Geräten oder sensiblen Daten erhöht die Wahrscheinlichkeit eines Vorfalls erheblich.
Komplexität und Intransparenz
  • Gewachsene IT-Landschaften sind häufig unübersichtlich und schlecht dokumentiert.
  • Schatten-IT führt dazu, dass Tools eingesetzt werden, die an zentralen Sicherheitsmaßnahmen vorbeigehen.
  • Fehlende Transparenz über aktuelle Bedrohungen macht die Sicherheitsstrategie reaktiv und lückenhaft.

In der Praxis wirken meist mehrere dieser Faktoren zusammen. Erfolgreiche Angriffe sind daher selten das Ergebnis einer einzelnen Schwachstelle, sondern fast immer das Zusammenspiel verschiedener Ursachen.

Beispiele aus der Praxis – wie Gefährdungen entstehen

Praxisfälle verdeutlichen, wie aus abstrakten Bedrohungen konkrete Gefährdungen werden:

  • Ransomware über ungesicherten VPN-Zugang
    Eine kriminelle Gruppe nutzte geleakte Zugangsdaten. Über einen nicht deaktivierten VPN-Zugang ohne Zwei-Faktor-Authentifizierung gelangten die Angreifer ins Netz und verschlüsselten zentrale Server. Ergebnis: Produktionsstillstand über mehrere Tage, Schaden von rund 1,2 Millionen Euro.
  • Social Engineering und veraltetes Endgerät
    Ein Phishing-Link auf einem veralteten Smartphone ohne Sicherheitsupdates führte zur Kompromittierung des Geräts. Interne Konten wurden missbraucht, der Schaden lag bei rund 120.000 Euro.
  • Insider mit erweiterten Berechtigungen
    Ein unzufriedener Mitarbeiter nutzte überhöhte Zugriffsrechte, die nie überprüft worden waren. Er sabotierte Systeme und leitete Daten weiter. Neben Reputationsschäden entstanden interne Kosten von etwa 380.000 Euro.
  • IoT-Gerät als Einstiegspunkt
    Ein unsicheres Thermostat mit Standardpasswort diente als Einstiegspunkt. Angreifer spionierten interne Systeme aus und veröffentlichten Daten. Der Schaden belief sich auf rund 230.000 Euro.

Diese Fälle zeigen, dass eine Gefährdung erst durch das Zusammentreffen von Bedrohung und Schwachstelle entsteht – und dass die Folgen erheblich sind, wenn sie nicht rechtzeitig erkannt wird.

Handlungsempfehlungen

Gefährdungen lassen sich nicht vollständig vermeiden. Sie lassen sich jedoch erkennen, bewerten und steuern:

  • Verantwortlichkeiten klären
    Benennen Sie klare Zuständigkeiten für IT-Sicherheit und regeln Sie den Zugriff Dritter verbindlich.
  • Transparenz schaffen
    Dokumentieren Sie Ihre IT-Struktur, vermeiden Sie Schatten-IT und prüfen Sie regelmäßig neue Systeme.
  • Gefährdungen analysieren
    Führen Sie regelmäßige Gefährdungsanalysen anhand realistischer Szenarien durch.
  • Risikoverstärker abbauen
    Reduzieren Sie technische und organisatorische Schwächen wie veraltete Systeme oder unklare Berechtigungen.
  • Mitarbeitende einbinden
    Schulen Sie Ihre Teams regelmäßig zu Phishing, Social Engineering und aktuellen Angriffsmethoden.
  • Schwachstellen beheben
    Nutzen Sie Patch-Management, sichere Konfigurationen und Systemprüfungen.
  • Netzwerke segmentieren
    Trennen Sie sensible Systeme logisch voneinander, um Ausbreitung zu verhindern.
  • Externe Zugriffe absichern
    Begrenzen Sie Drittzugriffe, setzen Sie Mehrfaktor-Authentifizierung ein und dokumentieren Sie alles nachvollziehbar.

Fazit

Gefährdungen entstehen erst dann, wenn eine Bedrohung auf eine Schwachstelle trifft. Genau dieser Zusammenhang macht sie so relevant für das Risikomanagement. Für Unternehmen bedeutet das: Bedrohungen dürfen nicht isoliert betrachtet werden. Entscheidend ist die Verbindung zur eigenen Angriffsfläche und den vorhandenen Schwachstellen.

Eine Gefährdungsanalyse ist deshalb kein theoretisches Modell, sondern ein praktisches Steuerungsinstrument. Sie schafft Transparenz, liefert eine fundierte Entscheidungsgrundlage für Investitionen und stärkt zugleich die Nachvollziehbarkeit gegenüber Prüfstellen. Wer Gefährdungen systematisch identifiziert und regelmäßig bewertet, übernimmt aktive Risikosteuerung – und erhöht die Handlungsfähigkeit im Ernstfall erheblich.

Ausblick: Schadwirkung

Im nächsten Beitrag geht es um die Schadwirkung. Wir zeigen, welche Folgen ein erfolgreicher Angriff tatsächlich haben kann, wie sich Schäden bemessen lassen und warum eine realistische Einschätzung der Auswirkungen für das Management unverzichtbar ist.

Weiterführende Links und Quellen

BSI – Die Lage der IT-Sicherheit in Deutschland
Allianz Risk Barometer 2025: Cybercrime größtes Risiko für Firmen – Lanzrath CyberSec
NIS2 & Cybersecurity: Warum Sicherheit kein Luxus sein darf – Lanzrath CyberSec

Hashtags