Bundesamt für Sicherheit in der Informationstechnik

G 2.26 Fehlendes oder unzureichendes Test- und Freigabeverfahren

Wird neue Hard- oder Software nicht oder nur unzureichend getestet und ohne Installationsvorschriften freigegeben, kann es passieren, dass Fehler in der Hard- oder Software nicht erkannt werden oder dass die notwendigerweise einzuhaltenden Installationsparameter nicht erkannt bzw. nicht beachtet werden. Diese Hardware-, Software- oder Installationsfehler, die aus einem fehlenden oder unzureichenden Software-Test- und Freigabeverfahren resultieren, stellen eine erhebliche Gefährdung für den IT -Betrieb dar.

Im Vertrauen auf eine problemlose Installation neuer Hard- bzw. Software wird oftmals übersehen, dass mögliche Schäden in keinem Verhältnis zu dem Aufwand stehen, den ein geordnetes Test- und Freigabeverfahren erfordert. Programme oder IT -Systeme werden unzureichend getestet und mit Fehlern in eine Produktionsumgebung eingebracht. Die Fehler wirken sich in der Folge störend auf den bis zu diesem Zeitpunkt problemlosen Betrieb aus.

Beispiele für solche Schäden werden nachfolgend aufgezeigt:

  • Programme oder Programm-Updates lassen sich nicht sinnvoll nutzen, da für ein annehmbares Verarbeitungstempo mehr Ressourcen ( z. B. Hauptspeicher, Prozessorkapazität) als erwartet benötigt werden. Wird dies nicht im Test erkannt, kann das zu erheblichen Fehl- oder Folgeinvestitionen führen. Nicht selten führten Entscheidungen gegen weitere Investitionen dazu, dass IT -Systeme oder Anwendungen zwar gekauft und bezahlt, jedoch nie benutzt wurden.
  • Eingeübte Arbeitsabläufe werden nach Installation neuer Software maßgeblich behindert. Der mit der Installation des Programms beabsichtigte Nutzen stellt sich erst bedeutend später ein, da die Mitarbeiter im Vorfeld nicht geschult bzw. nicht über die neuen Funktionen des Programms informiert wurden.
  • Durch das Einspielen eines Updates einer DBMS -Standardsoftware, das mit Fehlern behaftet ist, steht die Datenbank nicht mehr zur Verfügung oder es kommt zu Datenverlust.
  • Einige Software-Produkte installieren den Microsoft SQL Server Express (SSE) als Datenbank, ohne dass dies vom Benutzer bemerkt wird. Hierbei handelt sich um eine Ausprägung des Microsoft SQL Servers mit den typischen Gefährdungen eines Datenbanksystems. Oft sind die Benutzer des Produktes bzw. die Administratoren, die das Produkt installieren, nicht ausreichend über diese Gefährdungen informiert und versäumen, sicherheitsrelevante Maßnahmen zu ergreifen. So wird häufig in Verbindung mit SSE ein Benutzerkonto in der Datenbank für den Administrator angelegt, das in der Grundinstallation über keinen Passwortschutz verfügt. Auf diese Weise können Angreifer einen Vollzugriff auf die Daten und gegebenenfalls sogar auf das Betriebssystem erhalten.
  • In einer Bank wurden die Betriebssysteme zahlreicher Netzkomponenten aktualisiert. Danach blockierte die neue Version eines Paketfilters den Kommunikationsport einer selten genutzten, aber enorm wichtigen Funktion des kritischen datenbankbasierten Handelssystems. Dies hatte zur Folge, dass die Kunden der Bank nicht mehr auf die Anwendung zugreifen und wichtige Dienste nutzen konnten. Durch Regressforderungen erlitt die Bank einen finanziellen Schaden.

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK