Cluster 3 „Bedrohungserkennung und Monitoring“

Warum Bedrohungserkennung und Monitoring heute unverzichtbar sind

Cyberangriffe sind heute dynamisch und oft schwer zu erkennen. Cyberkriminelle agieren zunehmend professioneller, nutzen automatisierte Angriffswerkzeuge, künstliche Intelligenz und globale Infrastrukturen, um Schwachstellen in Unternehmen auszunutzen. Dabei sind nicht mehr nur Großkonzerne im Visier – auch Mittelständler, Zulieferer und IT-Dienstleister werden gezielt angegriffen.  

Hinzu kommt, dass sich die Angriffslandschaft schnell verändert. Neue Schwachstellen werden täglich entdeckt, Angriffsmethoden entwickeln sich weiter, und gezielte Attacken wie Ransomware, Phishing oder Supply-Chain-Angriffe nehmen stetig zu. Gleichzeitig steigen die regulatorischen Anforderungen. Unternehmen müssen nicht nur reagieren, sondern nachweisen, dass sie Risiken aktiv erkennen und steuern.  

In diesem Umfeld reicht reaktive Behandlung längst nicht mehr aus. Wer heute Informationswerte schützen will, muss Bedrohungen frühzeitig erkennen, laufend bewerten und gezielt gegensteuern. Genau hier setzen die neuen Controls der ISO/IEC 27001:2022 „5.7 Informationen über die Bedrohungslage“ und „8.16 Überwachung von Aktivitäten“ an: Sie fordern von Unternehmen, Bedrohungsinformationen systematisch zu sammeln, auszuwerten und daraus konkrete Maßnahmen abzuleiten. Ebenso wird ein kontinuierliches Monitoring der eigenen IT-Infrastrukturlandschaft verlangt, um anormales Verhalten und potenzielle Informationssicherheitsvorfälle möglichst früh zu entdecken.  

Bedrohungserkennung und Monitoring sind damit keine Zusatzthema, sondern ein zentraler Bestandteil moderner Informationssicherheit. Sie schaffen Transparenz, stärken die Reaktionsfähigkeit und sind die Grundlage für ein wirksames, risikobasiertes ISMS.  

Was fordert die ISO-Norm konkret?

5.7 Informationen über die Bedrohungslage (Threat Intelligence)

Organisationen müssen Informationen über aktuelle Bedrohungen der Informationssicherheit systematisch erheben, analysieren und nutzen, um Erkenntnisse über Bedrohungen zu gewinnen, Risiken besser zu verstehen und gezielt zu minimieren.    

8.16 Überwachung von Aktivitäten (Monitoring)

Die Norm fordert, dass Netzwerke, Systeme und Anwendungen auf anormales Verhalten überwacht werden und die Organisationen geeignete Maßnahmen ergreifen müssen, um potenzielle Informationssicherheitsvorfälle frühzeitig zu erkennen und bewerten zu können.

Dazu gehören:

  • die Definition von Monitoring-Zielen und -Bereichen,
  • die Etablierung technischer Lösungen (z. B. SIEM, IDS/IPS),
  • die Analyse von Logdaten und Alarmen,
  • die Ableitung von Maßnahmen bei Auffälligkeiten.    

Was bedeutet das für Unternehmen?

5.7 Informationen über die Bedrohungslage (Threat Intelligence)

Um den Anforderungen der Norm gerecht zu werden, sollten Organisationen Folgendes beachten:  

Bedrohungsinformationen müssen systematisch gesammelt werden. Hierbei kombiniert ein effektives Threat Intelligence-Verfahren interne Erkenntnisse mit externen Informationen:

  • intern aus Logdaten, eigenen Sicherheitsvorfällen, Incident Reports und Schwachstellenanalysen für eine kontextbezogene Bedrohungserkennung und
  • extern aus CERT-Meldungen, Branchenwarnungen und Threat Feeds als Frühwarnung vor neuen Angriffsmethoden und Schwachstellen.  

Informationen über die Bedrohungslage lassen sich in drei Arten unterteilen, die die Organisationen für die Threat Intelligence berücksichtigen sollten:

  • strategische Informationen für den Überblick und der Analyse der Bedrohungslandschaft, der Angreiferprofile und der Trends,
  • taktische Informationen der Methoden, Werkzeuge und Techniken der Angreifer, um passende eigene Systeme aufbauen zu können und
  • operative Informationen über tatsächlich aufgetretene Angriffe mit Einzelheiten der konkreten technische Indikatoren, wie z. B. IP-Adressen und Angriffsmuster.  

Um ein angemessenes Threat Intelligence aufzubauen, sollten Organisationen Ziele für die Bedrohungsanalyse festlegen, geeignete Quellen (intern und extern) auswählen, die Informationen aufbereiten und analysieren sowie die Ergebnisse an die relevanten Stellen kommunizieren. Die gewonnenen Erkenntnisse sollen in das Risikomanagement, in technische und organisatorische Maßnahmen (z. B. Firewalls, IDS, Awareness) und in die Sicherheitsüberprüfung einfließen. Ein Austausch mit anderen Organisationen über Bedrohungsinformationen kann dabei helfen, die eigene Lagebeurteilung zu verbessern.  

Unternehmen sollten einen strukturierten Prozess für Threat Intelligence etablieren, der regelmäßig überprüft und an die sich wandelnde Bedrohungslage angepasst wird. Die Qualität der Bedrohungsdaten ist entscheidend für die Wirksamkeit nachgelagerter Maßnahmen wie Monitoring, Incident Response und Awareness.  

8.16 Überwachung von Aktivitäten (Monitoring)

Neben der Sammlung von Informationen im Zusammenhang von Bedrohungslagen sollten Organisationen auch ein Monitoringsystem auf die eigene IT-Infrastrukturlandschaft inkl. der Netzwerke, Systeme und Anwendungen etablieren, um diese auf anormales Verhalten überwachen und bei Auffälligkeiten geeignete Maßnahmen ergreifen zu können. Das bedeutet im Detail:  

Der Umfang und die Tiefe der Überwachung sollten sich an den Geschäfts- und Informationssicherheitsanforderungen der Organisation orientieren und die gesetzlichen Vorgaben (z. B. Datenschutz) berücksichtigen.  

Überwacht werden sollten u. a.:

  • Netzwerk-, System- und Anwendungsverkehr (ein- und ausgehend),
  • Zugriffe auf IKT-Vermögenswerte, wie Systeme, Server und Anwendungen,
  • Konfigurationsänderungen auf administrativer Ebene,
  • Protokolle von Sicherheitstools (z. B. IDS, Firewalls, Antivirus, Webfilter und DLP),
  • System- und Netzwerkaktivitäten (Logdaten) und  
  • Nutzung von Ressourcen (z. B. CPU, Speicher, Bandbreite).    

Logs aus Webfilterung und Konfigurationsänderungen (siehe Beitrag 03 „Entwicklung & technische Absicherung“) sind dabei zentrale Datenquellen.  

Um im Monitoring Abweichungen feststellen zu können, sollten hierzu Organisationen deren normales Verhalten als Ausgangslage definieren und Abweichungen davon gezielt überwachen (z. B. ungewöhnliche Zugriffszeiten, ungewöhnliches Systemverhalten, ungewöhnlicher Datenfluss und unbekannte Geräte im Netz).  

Die Überwachung sollte kontinuierlich und möglichst automatisiert erfolgen – idealerweise in Echtzeit. Moderne Monitoring-Tools (wie z. B. Security Information and Event Management (SIEM) oder User and Entity Behavior Analytics (UEBA)) können große Datenmengen analysieren und bei Auffälligkeiten automatisch Alarm schlagen.  

Monitoring ist aber nicht nur ein rein technisches Werkzeug, sondern auch ein kontinuierlicher Prozess zur Frühwarnung, Analyse und Reaktion, der Technik, Organisation und Personal umfasst. Denn ein wirksames Monitoring-System sollte:

  • Risikobasiert geplant werden – welche Systeme sind besonders kritisch?
  • Technisch unterstützt ein – z. B. durch SIEM, Endpoint Detection & Response (EDR), Netzwerk-Monitoring.
  • Organisatorisch eingebettet sein – mit klaren Rollen, Prozessen und Eskalationswegen.
  • Datenschutzkonform umgesetzt werden – insbesondere bei der Überwachung von Benutzeraktivitäten.  

Die Verzahnung mit Notfallplanung und Wiederanlauf adressieren wir in Beitrag 05 „Resilienz und physische Sicherheit“.  

Monitoring hilft, Angriffe zu erkennen, bevor sie Schaden anrichten und ist damit ein zentraler Baustein moderner Informationssicherheit, der mit Threat Intelligence verknüpft werden sollte, um z. B. bekannte Angriffsindikatoren aus Threat Feeds direkt in die Überwachung einzubinden.    

Wie unterstützt die dhpg Sie bei der Umsetzung?

Als Partner für Informationssicherheit helfen wir Ihnen dabei:

  • Threat Intelligence aufzubauen: Auswahl relevanter Quellen, Bewertung und Integration in Ihr ISMS.
  • Monitoring zu planen und umzusetzen: Von der Tool-Auswahl bis zur Prozessgestaltung.
  • Compliance sicherzustellen: Datenschutz, Arbeitsrecht und technische Anforderungen im Einklang.
  • Awareness zu schaffen: Schulungen für IT und Fachbereiche zur sicheren Nutzung und Interpretation von Monitoring-Daten.

Ähnliche Beiträge

17. November 2025

ISMS im Wandel: Was die ISO/IEC 27001:2022 für Unternehmen jetzt bedeutet

Cyberangriffe, Datenpassen, Systemausfälle - das sind keine Ausnahmen mehr, sondern tägliche Realität. Angreifer nutzen automatisierte Tools, KI und globale Infrastrukturen. Dabei treffen sie längst nicht nur Großkonzerne.
Cyber Security
IT-Sicherheit
Zurück

Markus Müller

Diplom-Wirtschaftsinformatiker, Certified Information Systems Auditor (CISA), Certified Data Privacy Solutions Engineer (CDPSE)

Zum Profil von Markus Müller

Felicitas Kellermann

IT-Consultant

Zum Profil von Felicitas Kellermann

ISMS

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
Durch das Laden des YouTube Videos erklären Sie sich damit einverstanden, dass Cookies durch YouTube und Google gesetzt werden, und dadurch Daten an diese Anbieter übermittelt werden. Wir verarbeiten die Daten um die Zugriffe auf unsere YouTube-Videos analysieren zu können oder die Wirksamkeit unserer Werbung und Anzeigen auszuwerten. YouTube und Google verarbeiten die Daten auch zu eigenen Zwecken. Zudem erklären Sie sich auch damit einverstanden, dass Ihre Daten in die USA übermittelt werden, obwohl in den USA das Risiko besteht, dass US-Behörden zu Überwachungszwecken Zugriff auf Ihre Daten erhalten und Ihnen dagegen möglicherweise keine ausreichenden Rechtsschutzmöglichkeiten zustehen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
YouTube Video laden
Durch das Laden des Podcast-Players erklären Sie sich damit einverstanden, dass Cookies durch Podigee gesetzt und dadurch Daten an diesen Anbieter übermittelt werden. Wir nutzen diese Daten, um die Zugriffe auf unsere Podcasts zu analysieren und die Wirksamkeit unserer Inhalte zu bewerten. Podigee verarbeitet die Daten auch zu eigenen Zwecken. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
Podcast-Player laden