Bundesamt für Sicherheit in der Informationstechnik

B 1.14 Patch- und Änderungsmanagement

Logo Patch- und Änderungsmanagement

Beschreibung

Aufgabe des Änderungsmanagements ist es, verändernde Eingriffe in Anwendungen, Infrastruktur, Dokumentationen, Prozessen und Verfahren steuer- und kontrollierbar zu gestalten. Vor allem im Bereich der Informationstechnologie stehen viele Behörden und Unternehmen aufgrund der immer schneller fortschreitenden Entwicklung und den steigenden Anforderungen durch die Anwender vor der Herausforderung, die notwendigen Neuerungen an den Komponenten ihrer Systemlandschaft korrekt und zeitnah zu übernehmen.

Erfahrungen in Behörden und Unternehmen zeigen, dass Sicherheitslücken oder Störungen beim Betrieb häufig auf fehlerhafte oder nicht erfolgte Änderungen zurückzuführen sind. Fehlendes oder vernachlässigtes Patch- oder Änderungsmanagement führt schnell zu Lücken in der Sicherheit der einzelnen Komponenten und damit zu möglichen Angriffspunkten.

In diesem Baustein wird aufgezeigt, wie ein funktionierendes Patch- und Änderungsmanagement in einer Institution aufgebaut werden kann, wie der entsprechende Prozess zum Patch- und Änderungsmanagement kontrolliert und optimiert werden kann, damit Störungen im Betrieb vermieden sowie Sicherheitslücken minimiert und zeitnah beseitigt werden können. Die Beschreibungen konzentrieren sich dabei auf den IT-Betrieb, können aber auch sinngemäß in anderen Geschäftsprozessen umgesetzt werden. Mit Patch- und Änderungsmanagement wird in diesem Baustein die Aufgabe der Planung und Steuerung von Änderungen bezeichnet, auch wenn dieser Begriff in anderen Zusammenhängen teilweise für die Personen verwendet wird, die diese Aufgabe wahrnehmen.

Der Aufwand zur Erstellung und Umsetzung eines solchen Prozesses ist nicht gering. Daher sollte dieser Baustein vor allem bei größeren Informationsverbünden umgesetzt werden. Bei kleineren und wenig komplexen Informationsverbünden reicht unter Umständen die Umsetzung von M 2.221 Änderungsmanagement aus.

Gefährdungslage

In diesem Baustein werden für den IT-Grundschutz die folgenden typischen Gefährdungen betrachtet:

Organisatorische Mängel

G 2.1 Fehlende oder unzureichende Regelungen
G 2.9 Mangelhafte Anpassung an Veränderungen beim IT-Einsatz
G 2.17 Mangelhafte Kennzeichnung der Datenträger
G 2.26 Fehlendes oder unzureichendes Test- und Freigabeverfahren
G 2.27 Fehlende oder unzureichende Dokumentation
G 2.28 Verstöße gegen das Urheberrecht
G 2.132 Mangelnde Berücksichtigung von Geschäftsprozessen beim Patch- und Änderungsmanagement
G 2.133 Mangelhaft festgelegte Verantwortlichkeiten beim Patch- und Änderungsmanagement
G 2.134 Unzureichende Ressourcen beim Patch- und Änderungsmanagement
G 2.135 Mangelhafte Kommunikation beim Patch- und Änderungsmanagement
G 2.136 Fehlende Übersicht über den Informationsverbund
G 2.137 Fehlende und unzureichende Planung bei der Verteilung von Patches und Änderungen
G 2.138 Mangelhafte Wiederherstellungsoptionen beim Patch- und Änderungsmanagement
G 2.139 Mangelhafte Berücksichtigung von mobilen Endgeräten beim Patch- und Änderungsmanagement
G 2.140 Unzureichendes Notfallvorsorgekonzept für das Patch- und Änderungsmanagement

Menschliche Fehlhandlungen

G 3.38 Konfigurations- und Bedienungsfehler
G 3.92 Fehleinschätzung der Relevanz von Patches und Änderungen

Technisches Versagen

G 4.22 Software-Schwachstellen oder -Fehler
G 4.33 Schlechte oder fehlende Authentikationsverfahren und -mechanismen
G 4.71 Probleme bei der automatisierten Verteilung von Patches und Änderungen

Vorsätzliche Handlungen

G 5.2 Manipulation an Informationen oder Software
G 5.145 Manipulation von Daten und Werkzeugen beim Patch- und Änderungsmanagement

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Um ein effektives System zur Behandlung von Patches und Änderungen einzurichten, sind eine Reihe von Schritten zu durchlaufen.

Planung und Konzeption

Über das Patch- und Änderungsmanagement sollten alle Änderungen an Hard- und Softwareständen sowie deren Konfigurationen gesteuert und kontrolliert werden. Um alle Änderungen erfassen und bewerten zu können, sollten alle innerhalb des Patch- und Änderungsmanagements erfassten IT-Systeme diesem unterstellt sein (siehe M 2.423 Festlegung der Verantwortlichkeiten für das Patch- und Änderungsmanagement ). Änderungen an Konfiguration und Zustand der Systeme sind damit nur noch über das Patch- und Änderungsmanagement möglich. Dies erfordert eine entsprechende Delegation der Verantwortung durch die Leitung der Behörde oder des Unternehmens. Die organisatorische Umsetzung des Patch- und Änderungsmanagements stellt eine Querschnittsfunktion durch verschiedene Abteilungen einer Institution dar. Insbesondere sind der IT-Betrieb, das Informationssicherheitsmanagement und die Fachabteilungen einzubinden.

Ein einzelner Patch- oder Änderungsvorgang beginnt mit einer Änderungsanforderung. Diese sollte zunächst erfasst und durch den Änderungsmanager kontrolliert werden. Zu dieser Änderung sollten Relevanz, Dringlichkeit, geplante Durchführung (Termin, Ablauf) sowie mögliche Risiken und Probleme zusammengestellt und erfasst werden (siehe M 2.421 Planung des Patch- und Änderungsmanagementprozesses und M 2.422 Umgang mit Änderungsanforderungen ).

Das Patch- und Änderungsmanagement kann durch technische Hilfsmittel, beispielsweise zum automatischen Verteilen von Software, sinnvoll unterstützt werden. Werden für die Umsetzung des Patch- und Änderungsmanagements spezielle Tools eingesetzt, so muss sichergestellt werden, dass ein Konzept für deren Einsatz erstellt wird (siehe M 2.424 Sicherheitsrichtlinie zum Einsatz von Patch- und Änderungsmanagement-Werkzeugen ).

Beschaffung

Es gibt unterschiedliche Produkte, die den Patch- und Änderungsmanagementprozess unterstützen. Um aus diesen Produkten eine geeignete Auswahl zu treffen, müssen vor der Beschaffung die Anforderungen an diese Werkzeuge, zum Beispiel welche Plattformen unterstützt werden müssen, festgelegt werden (siehe M 2.425 Geeignete Auswahl von Werkzeugen für das Patch- und Änderungsmanagement ).

Umsetzung

Bei der Umsetzung sollten alle vom Patch- und Änderungsmanagement betreuten IT-Systeme diesem einzeln oder gruppenweise unterstellt werden. Des Weiteren müssen Änderungen an diesen Systemen an einer zentralen Stelle dokumentiert werden (siehe M 2.34 Dokumentation der Veränderungen an einem bestehenden System ).

Betrieb

Je nach Größe und Komplexität eines Patches oder einer durchzuführenden Änderung wird empfohlen, in einem Durchführungsplan Tests, Kontroll- und Abbruchpunkte sowie Prioritäten für die Verteilung zu definieren. Dabei muss sichergestellt werden, dass das angestrebte Sicherheitsniveau während und nach der Änderung erhalten bleibt. Die Freigabe und Durchführung von Änderungen sollten abgestimmt und dabei Ressourcen und Interessen von Fachbereichen und IT-Betrieb berücksichtigt werden (siehe M 2.426 Integration des Patch- und Änderungsmanagements in die Geschäftsprozesse und M 2.427 Abstimmung von Änderungsanforderungen ).

Zur Qualitätssicherung und um Fehler erkennen beziehungsweise zukünftigen Fehlern vorbeugen zu können, sollte jeder Patch und jede Änderung, nachdem sie aufgespielt wurden, (siehe M 2.429 Erfolgsmessung von Änderungsanforderungen ) bewertet werden.

Änderungen, insbesondere Softwareaktualisierungen, können manuell, aber auch mit Hilfe von geeigneten Tools durchgeführt werden. Bei Einsatz dieser Werkzeuge ist darauf zu achten, dass diese gegen Missbrauch besonders gesichert sind, und nicht zu einer Gefährdung der Gesamtsicherheit führen, da sie häufig mit Systemadministrator-Berechtigungen arbeiten. Tools bieten die Möglichkeit an vielen Systemen gleichzeitig Änderungen durchzuführen. Dadurch multiplizieren sich aber auch die Auswirkungen von Fehlern, so dass sehr sorgfältige Tests gemacht werden sollten, bevor die Änderung durchgeführt wird (siehe M 2.428 Skalierbarkeit beim Patch- und Änderungsmanagement ). Zu berücksichtigen ist ebenfalls, dass umzustellende Systeme zeitweise oder permanent abgeschaltet bzw. nicht erreichbar sein könnten. Dies betrifft vor allem mobile Geräte wie zum Beispiel Laptops, Smartphones und PDAs (siehe M 4.323 Synchronisierung innerhalb des Patch- und Änderungsmanagements ). Außerdem muss während des gesamten Patch- und Änderungsmanagementprozesses die Integrität und Authentizität der verwendeten Software technisch sicher gestellt werden (siehe M 4.177 Sicherstellung der Integrität und Authentizität von Softwarepaketen ).

Die Autoupdate-Mechanismen verwendeter Software müssen, unabhängig von ihrem Einsatzgrad innerhalb des Patch- und Änderungsprozesses, betrachtet werden (siehe M 4.324 Konfiguration von Autoupdate-Mechanismen beim Patch- und Änderungsmanagement ).

Aussonderung

Werden Systeme zum Patch- und Änderungsmanagement außer Kraft gesetzt, sollten sie geregelt entsorgt werden. Vertiefende Informationen sind in M 2.13 Ordnungsgemäße Entsorgung von schützenswerten Betriebsmitteln zu finden.

Notfallvorsorge

Für die Notfallvorsorge müssen die einzelnen Notfallpläne der Anwendungen und IT-Systeme, die vom Patch- und Änderungsmanagement verwaltet werden, berücksichtigt werden (siehe B 1.3 Notfallmanagement ). Da das Patch- und Änderungsmanagement zur technischen Umsetzung von Sicherheit in der Institution beiträgt, sollten geeignete technische Redundanz- und Ersatzsysteme bereitgestellt werden, um einem nicht kompensierbaren Ausfall entgegen zu wirken. Des Weiteren sind Vertreterregelungen von besonderer Bedeutung, um den Entscheidungs- und Freigabeprozess aufrecht zu erhalten.

Planung und Konzeption

M 2.221 (A) Änderungsmanagement
M 2.421 (B) Planung des Patch- und Änderungsmanagementprozesses
M 2.422 (B) Umgang mit Änderungsanforderungen
M 2.423 (A) Festlegung der Verantwortlichkeiten für das Patch- und Änderungsmanagement
M 2.424 (A) Sicherheitsrichtlinie zum Einsatz von Patch- und Änderungsmanagement-Werkzeugen
M 3.66 (W) Grundbegriffe des Patch- und Änderungsmanagements

Beschaffung

M 2.62 (B) Software-Abnahme- und Freigabe-Verfahren
M 2.425 (C) Geeignete Auswahl von Werkzeugen für das Patch- und Änderungsmanagement

Umsetzung

M 4.65 (C) Test neuer Hard- und Software

Betrieb

M 2.219 (A) Kontinuierliche Dokumentation der Informationsverarbeitung
M 2.426 (C) Integration des Patch- und Änderungsmanagements in die Geschäftsprozesse
M 2.427 (C) Abstimmung von Änderungsanforderungen
M 2.428 (Z) Skalierbarkeit beim Patch- und Änderungsmanagement
M 2.429 (Z) Erfolgsmessung von Änderungsanforderungen
M 4.78 (A) Sorgfältige Durchführung von Konfigurationsänderungen
M 4.177 (B) Sicherstellung der Integrität und Authentizität von Softwarepaketen
M 4.323 (Z) Synchronisierung innerhalb des Patch- und Änderungsmanagements
M 4.324 (C) Konfiguration von Autoupdate-Mechanismen beim Patch- und Änderungsmanagement

Stand: 11. EL Stand 2009

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK