De­tek­ti­on und Prä­ven­ti­on im In­for­ma­ti­ons­si­cher­heits­ma­nage­ment

Was bedeutet Prävention und Detektion?

Prävention bezeichnet Maßnahmen zur Verhinderung von Cyberangriffen, während Detektion darauf abzielt, Angriffe frühzeitig zu erkennen.

Prävention umfasst alle organisatorischen und technischen Vorkehrungen, die darauf ausgerichtet sind, Sicherheitsvorfälle von vornherein zu vermeiden – etwa durch Zugriffskontrollen, Systemhärtung oder Webfiltering. 

Da jedoch kein Schutz vollständig ist, gewinnt die Detektion zunehmend an Bedeutung: Sie beschreibt die kontinuierliche Überwachung von Systemen und Aktivitäten, um Anomalien, verdächtige Muster oder konkrete Angriffe möglichst frühzeitig zu identifizieren. Erst das Zusammenspiel beider Ansätze ermöglicht es Unternehmen, Sicherheitsvorfälle nicht nur zu verhindern, sondern im Ernstfall schnell zu erkennen, einzugrenzen und wirksam darauf zu reagieren.

Informationssicherheit zwischen Prävention und früher Angriffserkennung

Der eminente Wert von Informationen und Daten in der Business-Welt des 21. Jahrhunderts zwingt Unternehmen und Organisationen zunehmend, sich auf das Management von Informationssicherheit und den Datenschutz zu fokussieren und in den systematischen Schutz ihrer digitalen Assets zu investieren. Warum? In dynamischen Bedrohungslandschaften werden die Taktiken der Angreifer stetig raffinierterer und vielschichtiger – mit der Konsequenz gravierender Image- und Reputationsschäden für betroffene Unternehmen und jährlich weltweit zunehmenden wirtschaftlichen Schäden in Milliardenbereich wegen unzureichender Informationssicherheit.

Die Cyberbedrohungslandschaften von heute verändern sich also rasant. Analog dazu gilt es, die systematische Absicherung der Informationssicherheit stetig auf dem Stand der Technik zu halten und weiterzuentwickeln – mit einem modernen, breiten und flexiblen Katalog zeitgemäßer Sicherheitsmaßnahmen. ISO/IEC 27001:2022 unterstützt exakt dieses Ziel und stellt gegenüber der Vorgängerversion elf neue Maßnahmen bereit, von denen wir im Folgenden drei genauer beleuchten, die ihre Wirkung bei der Angriffsprävention und Angriffserkennung entfalten.

Einen lückenlosen Schutz vor Cyberangriffen, auch da sind sich Experten einig, gibt es nicht mehr – allein schon aufgrund des Unsicherheitsfaktors "Mensch". Umso wichtiger ist die frühzeitige Erkennung potenzieller und tatsächlicher Angriffe, um deren lateralen Vektor in Unternehmensnetzwerken einzugrenzen und die Anzahl kompromittierbarer Systeme so gering wie möglich zu halten. 

Doch in diesem Bereich gibt es noch enormen Nachholbedarf: Untersuchungen im Rahmen der Studie „Cost of a Data Breach Report 2025“ von IBM zeigen, dass Unternehmen aktuell durchschnittlich 241 Tage benötigen, um einen Angriff zu erkennen und einzudämmen. Das ist zwar eine Verbesserung gegenüber dem Jahr 2022, als es noch 277 Tage waren, verdeutlicht jedoch weiterhin, wie lange Angriffe oft unentdeckt bleiben.

Wie stärkt ISO 27001 Detektion und Prävention?

Für die praktische Umsetzung der Sicherheitsmaßnahmen aus Anhang A bietet die Norm eine strukturierte und anwendungsnahe Orientierung. Neu aufgenommen wurden dabei auch generische Maßnahmen, die eine strategische Angriffsprävention und eine schnellere Detektion ermöglichen.

Insgesamt umfasst Anhang A von ISO 27001 nun 93 Maßnahmen, die im Zuge der Aktualisierung in vier Themenbereiche neu gegliedert wurden:

• Organisatorische Maßnahmen
• Personenbezogene Maßnahmen
• Physische Maßnahmen
• Technologische Maßnahmen

Drei dieser Sicherheitsmaßnahmen beziehen sich auf die Vorbeugung und das rechtzeitige Erkennen von Cyber-Angriffen. Im Folgenden werden wir diese Controls und ihre Bedeutung für Detektion und Prävention genauer betrachten.

• 5.7 "Bedrohungsintelligenz" (organisatorisch)
• 8.16 "Überwachung von Aktivitäten" (technologisch)
• 8.23 "Webfilterung" (technologisch)

Was versteht man unter Bedrohungsintelligenz?

Control 5.7 „Bedrohungsintelligenz“ (oder Threat Intelligence) ermöglicht die systematische Sammlung und Auswertung von Informationen über aktuelle und potenzielle Bedrohungen, um Risiken frühzeitig zu erkennen und geeignete Schutzmaßnahmen abzuleiten.

Die organisatorische Maßnahme 5.7 behandelt die systematische Erhebung und Analyse von Informationen über relevante Bedrohungen. Zweck ist die Sensibilisierung von Organisationen für ihre eigene Bedrohungslage, um in der Folge geeignete Maßnahmen zur Risikominderung ergreifen zu können. Bedrohungsdaten sollten strukturiert nach drei Aspekten analysiert werden: strategisch, taktisch und operativ. 

Die strategische Bedrohungsanalyse liefert Einsichten in sich verändernde Bedrohungslandschaften, wie beispielsweise über Angriffsarten und die Akteure (staatlich motivierte Akteure, Cyberkriminelle, Auftragsangreifer, Hacktivisten etc.).

Nationale und internationale staatliche Stellen liefern ebenso wie gemeinnützige Organisationen und einschlägige Foren gut recherchierte Bedrohungsinformationen über alle Branchen und kritischen Infrastrukturen hinweg. Beispiele hierfür sind 

• das BSI – Bundesamt für Sicherheit in der Informationstechnik
• die enisa – European Union Agency for Cybersecurity oder
• das NIST – National Institute of Standards and Technology

Taktische Bedrohungsdaten und ihre Auswertung ermöglichen Einschätzungen über Methoden, Werkzeuge und Technologien der Angreifer. Die operative Auswertung konkreter Bedrohungen stellt Detailinformationen zu bestimmten Angriffen einschließlich technischer Indikatoren bereit, wie zum Beispiel aktuell die im Jahr 2022 extreme Zunahme von Cyber-Angriffen durch Ransomware und ihre Varianten.

Die Bedrohungsanalyse kann wie folgt unterstützen:

• prozessual zur Einbindung von Bedrohungsdaten in den Risikomanagementprozess,
• technisch präventiv und detektierend, zum Beispiel durch Aktualisierung von Firewall-Regeln, Intrusion-Detection-Systemen (IDS), Anti-Malware-Lösungen,
• mit Eingabeinformationen für spezifische Testverfahren und Testtechniken gegen die Informationssicherheit.

Die Datenqualität aus dem organisatorischen Control 5.7 zur Bestimmung der Bedrohungslage und deren Analyse wirken unmittelbar auf die beiden nachfolgend erläuterten technischen Maßnahmen zur Überwachung von Aktivitäten (8.16) und zur Webfilterung (8.23), die im aktruellen Leitfaden ISO/IEC 27002 aufgenommen wurden.

Was versteht man unter Überwachung von Aktivitäten?

Die Überwachung von Aktivitäten (Control 8.16) bezeichnet die kontinuierliche Analyse von System-, Netzwerk- und Anwendungsverhalten zur Erkennung von Abweichungen (Anomalien), um potenzielle Sicherheitsvorfälle frühzeitig zu identifizieren und darauf reagieren zu können.

Die detektierende und korrektive Informationssicherheitsmaßnahme 8.16 zur technischen Überwachung von Aktivitäten stellt die Anomalie-Erkennung als Methode zur Gefahrenabwehr in den Fokus. Netzwerke, Systeme und Anwendungen verhalten sich nach erwartbaren Mustern, beispielsweise bezüglich Datendurchsatz, Protokollen, Meldungen und so weiter. Jede Änderung oder Abweichung von diesen erwarteten Mustern wird als Anomalie detektiert.

Um dieses ungewöhnliche Verhalten zu erkennen, gilt es, entsprechend den Geschäfts- und Informationssicherheitsanforderungen, relevante Aktivitäten zu überwachen und etwaige Anomalien unter anderem mit vorhandenen Bedrohungsdaten abzugleichen (Control 5.7). Folgende Aspekte sind dabei für das Überwachungssystem relevant:

• ein- und abgehender Netzwerk-, System- und Anwendungsverkehr
• Zugang zu Systemen, Servern, Netzwerkausrüstung, Überwachungssystemen, kritischen Anwendungen usw.
• System- und Netzkonfigurationsdateien auf administrativer oder geschäftskritischer Ebene
• Protokolle von Sicherheitstools – unter anderem Antivirus, Intrusion-Detection-Systemen (IDS), Intrusion-Prevention-System (IPS), Webfilter, Firewalls, Verhinderung von Datenabflüssen
• Ereignisprotokolle in Bezug auf System- und Netzwerkaktivitäten
• Überprüfung, ob ausführbarer Code in einem System integer und autorisiert ist
• Nutzung der Ressourcen, zum Beispiel Prozessorleistung, Festplattenkapazität, Speichernutzung, Bandbreiten

Die Grundvoraussetzungen für eine funktionierende Überwachung von Aktivitäten sind eine sauber und transparent konfigurierte IT-/OT-Infrastruktur sowie einwandfrei funktionierende IT-/OT-Netzwerke. Jede Änderung gegen diesen Grundzustand wird als potenzielle Gefährdung der Funktionsfähigkeit und damit als Anomalie detektiert. Abhängig von der Komplexität einer Infrastruktur ist die Umsetzung dieser Maßnahme trotz einschlägiger Herstellerlösungen eine große Herausforderung.

Die Bedeutung von Systemen zur Anomalie-Erkennung wurde fast zeitgleich mit der Maßnahme 8.16 von ISO 27001 regulatorisch für Betreiber sogenannter Kritischer Infrastrukturen erkannt. So besteht für diese im nationalen Anwendungsbereich einschlägiger, gesetzlicher Regelungen die Verpflichtung, sogenannte Systeme zur Angriffserkennung mit Fristsetzung wirksam anzuwenden.

Was versteht man unter Webfilterung ?

Webfilterung (Control 8.23) bezeichnet die präventive Kontrolle und Einschränkung von Webzugriffen, um den Zugang zu schädlichen oder unerwünschten Online-Ressourcen zu verhindern und Systeme vor Malware und anderen Bedrohungen zu schützen.

Das Internet ist Segen und Fluch zugleich. Der Zugriff auf zweifelhafte Websites ist nach wie vor ein Einfallstor für bösartige Inhalte und Schadsoftware. Mit der Sicherheitsmaßnahme 8.23 wird präventiv bezweckt, eigene Systeme einer Organisation vor dem Eindringen von Schadsoftware zu schützen und den Zugang zu nicht autorisierten Webressourcen zu verhindern.

Organisationen sollten hierfür Regeln für die sichere und angemessene Nutzung von Online-Ressourcen aufstellen, einschließlich verbindlicher Zugangsbeschränkungen auf unerwünschte oder ungeeignete Websites und webbasierte Anwendungen. Der Zugang zu folgenden Arten von Websites sollte unternehmensseitig gesperrt werden:

• Websites, die über eine Funktion zum Hochladen von Informationen verfügen – es sei denn, dies wäre aus berechtigten, geschäftlichen Gründen notwendig
• bekannte oder auch vermutete bösartige Websites
• Command- und Control-Server
• bösartige Websites, die aus den Bedrohungsdaten (siehe Control 5.7) als solche identifiziert wurden
• Websites mit illegalen Inhalten

Die Maßnahme zur Webfilterung funktioniert nur mit geschultem Personal, das in der sicheren und angemessenen Nutzung von Online-Ressourcen ausreichend sensibilisiert ist.

Prävention und Detektion im Kontext von ISO 27001

Fazit

Die beschriebenen Detektions- und Präventionsmaßnahmen stärken nachhaltig das Informationssicherheits- und Cyber-Security-Management von Unternehmen. Ihnen kommt bei der Abwehr organisierter Cyberkriminalität eine Schlüsselrolle zu, weshalb sie in die aktuellen Fassungen von ISO 27001 und ISO 27002 aufgenommen wurden.

Durch die kontinuierliche Analyse verfügbarer Bedrohungsinformationen sowie die umfassende Überwachung der eigenen IT-Infrastruktur stärken Unternehmen ihre Widerstandsfähigkeit gegenüber Cyberangriffen nachhaltig. Zusätzlich reduziert die Absicherung gegen unsichere Websites das Risiko des Eindringens von Schadsoftware. Gleichzeitig schaffen Unternehmen die Grundlage, Sicherheitsvorfälle frühzeitig zu erkennen und geeignete Reaktionsmaßnahmen einzuleiten.

Unternehmen und Organisationen sind nun gefordert, die drei Maßnahmen beziehungsweise Controls zur Prävention und Detektion wirksam umzusetzen und konsistent in ihr Informationssicherheitsmanagement zu integrieren, um die Anforderungen zukünftiger Zertifizierungsaudits zu erfüllen.

Die DQS verfügt seit mehr als 40 Jahren über umfassende Expertise im Bereich unparteilicher Audits und Zertifizierungen – und unterstützt Sie gerne bei Ihrem Informationssicherheits-Managementsystem nach ISO 27001.

Vertrauen und Expertise

Unsere Texte und Broschüren werden ausschließlich von unseren Normexperten oder langjährigen Auditoren verfasst. Sollten Sie Fragen zu den Textinhalten oder unseren Dienstleistungen an unseren Autor haben, senden Sie uns gerne eine E-Mail [email protected].

Hinweis: Wir verwenden aus Gründen der besseren Lesbarkeit das generische Maskulinum. Die Direktive schließt jedoch grundsätzlich Personen jeglicher Geschlechteridentitäten mit ein, soweit es für die Aussage erforderlich ist.