Bundesamt für Sicherheit in der Informationstechnik

G 2.133 Mangelhaft festgelegte Verantwortlichkeiten beim Patch- und Änderungsmanagement

Auch im Rahmen des Patch- und Änderungsmanagements sollten eindeutige Verantwortlichkeiten festgelegt werden. Treten Situationen ein, in denen die Verantwortlichkeiten nicht oder fehlerhaft geregelt sind, können erhebliche Nachteile entstehen. Beispielsweise könnten ungeregelte Zuständigkeiten dazu führen, dass gravierende Sicherheitslücken nicht zeitnah geschlossen werden, da niemand die Verantwortung für einen Notfallpatch tragen will.

Mangelhaft festgelegte, sich überschneidende oder ungeklärte Verantwortlichkeiten im Patch- und Änderungsmanagement verlangsamen das Einordnen der Änderungsanforderungen (Requests for Change) in Kategorien und die Vergabe von Prioritäten und damit das gewünschte Verteilen der Patches und Änderungen ("Rollout"). Auch die vorschnelle Freigabe einer Änderung oder eines Patches, ohne Testlauf und Berücksichtigung aller (fachlichen) Aspekte, kann gravierende Auswirkungen auf die Sicherheit haben.

Im Extremfall können mangelhaft festgelegte Verantwortlichkeiten die gesamte Institution komplett oder in großem Umfang beeinträchtigen. Störungen im Betrieb wirken sich auf die Verfügbarkeit aus, die nicht erfolgte Verteilung von sicherheitsrelevanten Patches auf die Vertraulichkeit bzw. Integrität.

Beispiele:

  • In einem Unternehmen sind für das Patch- und Änderungsmanagement in den Fachabteilungen keine Ansprechpartner festgelegt. Daher kommt es immer wieder zu Verzögerungen bei der Festlegung von Prioritäten der Änderungsanforderungen. Außerdem ist es nur schwer möglich, die Auswirkungen von Änderungen auf die Geschäftsprozesse abzuschätzen. Als Sicherheitslücken in einer Software bekannt wurden, konnten zeitkritische Notfall-Patches nicht rechtzeitig eingebracht werden, so dass sie unbemerkt als Einfallstor für ein Trojanisches Pferd dienten.
  • In einer Behörde wurde die Änderung eines IT-Systems ohne vorherigen Kontakt zur Fachabteilung durchgeführt. Die Abteilung konnte sich weder darauf einstellen noch der Änderung zustimmen. Zusätzlich fielen durch das Einspielen einige IT-Systeme der Anwender aus, ohne die wichtige Aufgaben nicht durchgeführt werden konnten.

Stand: 10. EL Stand 2008