Bundesamt für Sicherheit in der Informationstechnik

G 2.132 Mangelnde Berücksichtigung von Geschäftsprozessen beim Patch- und Änderungsmanagement

In Behörden und Unternehmen sollten sich die Informationssicherheitsprozesse ebenso wie die Sicherheitsmaßnahmen an den Geschäftszielen und Geschäftsprozessen der Institution orientieren. Die im Rahmen des Patch- und Änderungsmanagements durchgeführten Veränderungen an IT -Systemen können die Effizienz von einzelnen Sicherheitsmaßnahmen verringern und damit zu einer Gefährdung der Gesamtsicherheit führen. Ungeeignete Patches und Änderungen können unter anderem den reibungslosen Ablauf der Geschäftsprozesse beeinträchtigen oder gar den kompletten Ausfall der beteiligten IT-Systeme verursachen. Auch ein noch so umfangreiches Testverfahren kann nicht vollkommen ausschließen, dass sich ein Patch oder eine Änderung im späteren Produktivbetrieb in speziellen Konstellationen als fehlerbehaftet erweist.

Wird im Laufe des Patch- und Änderungsprozesses die Auswirkung, Kategorie oder Priorität einer eingereichten Änderungsanforderung (RfC, Request for Change) in Bezug auf die Geschäftsprozesse falsch eingeschätzt, kann sich das angestrebte Sicherheitsniveau verringern. Solche Fehleinschätzungen sind überwiegend das Resultat mangelnder Abstimmung zwischen den IT-Verantwortlichen und den zuständigen Fachabteilungen.

Indem Änderungen und Patches eingespielt werden, können zwar Sicherheitslücken geschlossen, aber auch unbeabsichtigt ein großer Schaden angerichtet werden. Beispielsweise könnte durch einen fehlerhaften Patch eine größere Sicherheitslücke entstehen oder die Verfügbarkeit einer Applikation beziehungsweise eines Geschäftsprozesses reduziert werden.

Beispiele:

  • In einem Unternehmen der Finanzwirtschaft kommt es durch zeitnahes, aber nicht mit den Fachabteilungen abgestimmtes Verteilen ("Rollout") von Sicherheitspatches immer wieder zu Einschränkungen in der Verfügbarkeit einer geschäftskritischen Reporting-Anwendung. In Folge kann ein wichtiger Berichtstermin bei der Aufsichtsbehörde nicht eingehalten werden und das Unternehmen wird mit einem Bußgeld belegt.
  • In einem Unternehmen wird eine neue Version einer Handelssoftware zur Kommunikation mit externen Partnern entwickelt und aktualisiert. Da die serverseitige Komponente nun viel umfangreicher ist und mit mehr Clients kommunizieren muss, wurde in der neuen Version auf die bisher eingesetzte SSL-Verschlüsselung verzichtet, ohne dass dies mitgeteilt wurde. Da die Handelspartner vertraglich die Software einsetzen müssen, erfolgt die für die Geschäftsprozesse wichtige Kommunikation unverschlüsselt.

Stand: 10. EL Stand 2008