Skip to content

Wie unterscheiden Sie eine Schwachstelle von einer Bedrohung und einem Risiko?

Kurzantwort

Eine Schwachstelle ist eine Schwäche (ungepatchte Software). Eine Bedrohung ist ein Akteur oder Ereignis, das sie ausnutzen könnte (eine Ransomware-Gruppe). Risiko ist die Kombination aus der Wahrscheinlichkeit, dass eine Bedrohung eine Schwachstelle ausnutzt, und der Auswirkung, falls dies geschieht. Risiko = Bedrohung x Schwachstelle x Auswirkung, und das ist es, was man tatsächlich priorisiert.

Diese drei Wörter werden im Alltagsgespräch austauschbar verwendet, doch in der Sicherheit sind sie verschieden — und diese Unterscheidung ist die gesamte Grundlage dafür, wie Teams ihre Arbeit priorisieren.

Die Definitionen

  • Schwachstelle — eine Schwäche oder ein Fehler, der ausgenutzt werden könnte. Ein ungepatchter Server, eine schwache Passwortrichtlinie, ein fehlkonfigurierter S3-Bucket, ein SQL-Injection-Fehler.
  • Bedrohung — etwas oder jemand, das eine Schwachstelle ausnutzen könnte, um Schaden anzurichten. Eine Ransomware-Bande, ein böswilliger Insider, eine Naturkatastrophe oder ein automatisierter Scanner.
  • Risiko — die Schnittmenge: die Wahrscheinlichkeit, dass eine Bedrohung eine Schwachstelle erfolgreich ausnutzt, kombiniert mit der Auswirkung, falls dies geschieht. Risiko ist das, was man misst und steuert.

Eine gängige Kurzformel lautet Risiko = Bedrohung × Schwachstelle × Auswirkung. Keine Bedrohung oder keine Schwachstelle oder keine Auswirkung bedeutet wenig oder kein Risiko.

Warum die Unterscheidung wichtig ist

Man kann selten alles beheben, daher priorisiert man nach Risiko, nicht nach der reinen Zahl der Schwachstellen. Eine kritische Schwachstelle auf einem ans Internet angebundenen Server mit Kundendaten ist ein hohes Risiko. Dieselbe Schwachstelle auf einem isolierten Labor-Rechner ohne sensible Daten ist ein geringes Risiko — obwohl die Schwachstelle identisch ist.

Sie verdeutlicht auch Ihre Optionen. Sie können das Risiko senken, indem Sie die Schwachstelle beseitigen (patchen), den Zugang der Bedrohung verringern (Netzwerksegmentierung, Firewall-Regeln) oder die Auswirkung reduzieren (Backups, Verschlüsselung). Sie müssen den Fehler nicht immer direkt beheben.

Warum das wichtig ist

Interviewer stellen diese Frage, um zu sehen, ob Sie wie ein Risikomanager denken statt wie jemand, der nur Häkchen setzt. Ein Kandidat, der erklärt, dass eine beängstigend klingende CVE im Kontext dennoch ein geringes Risiko sein kann — und der die Hebel zur Risikosenkung kennt — zeigt das Urteilsvermögen, auf das sich Sicherheitsteams verlassen.

Wahrscheinliche Anschlussfragen

  • Wie würden Sie das Risiko senken, ohne die Schwachstelle zu beseitigen?
  • Nennen Sie ein Beispiel, bei dem eine schwerwiegende Schwachstelle dennoch ein geringes Risiko darstellt.
  • Welche Rolle spielt die „Auswirkung“ bei der Priorisierung der Behebung?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.