Bundesamt für Sicherheit in der Informationstechnik

G 2.134 Unzureichende Ressourcen beim Patch- und Änderungsmanagement

Um ein wirkungsvolles Patch- und Änderungsmanagement einführen und betreiben zu können, sind angemessene personelle, zeitliche und finanzielle Ressourcen erforderlich. Werden diese nicht zur Verfügung gestellt, kann das vielfältige negative Auswirkungen haben. Es kann beispielsweise dazu führen, dass

  • die notwendigen Rollen nicht mit geeigneten Personen besetzt werden,
  • die Schnittstellen für bestimmte Informationen, beispielsweise entsprechende Ansprechpartner in den Fachbereichen, nicht geschaffen werden oder
  • die erforderlichen Kapazitäten für die Infrastruktur der Test- und Verteilungsumgebungen nicht bereitgestellt werden.

Können die personellen, zeitlichen und finanziellen Mängel im Regelbetrieb häufig noch ausgeglichen werden, werden sie unter hohem Zeitdruck, beispielsweise wenn Notfall-Patches eingespielt werden, um so deutlicher.

Beispiele:

  • Der Mangel an personellen Ressourcen innerhalb des Patch- und Änderungsmanagements kann zu einer Überlastung der zuständigen Mitarbeiter führen. Die alltägliche Arbeit an geplanten Patches und Änderungen verläuft weitgehend reibungslos, jedoch ist proaktives oder zeitnahes, reaktives Verteilen von aktuellen Sicherheitspatches nicht mehr möglich. Die Institution ist damit kaum in der Lage; schnell auf neue Bedrohungen der Sicherheit zu reagieren.
  • Steht nicht genug Zeit zum Testen eines Patches oder einer Änderung zur Verfügung, oder besteht kein beziehungsweise nur eingeschränkter Zugriff auf eine dem Produktivsystem analoge Testumgebung, werden unzureichend getestete Patches und Änderungen in eine komplexe Umgebung verteilt. Die Folge können Probleme mit der Stabilität oder dem reibungslosen Zusammenarbeiten der beteiligten Betriebssysteme, Anwendungen und Datenbankmanagementsysteme sein.

Stand: 10. EL Stand 2008