Bundesamt für Sicherheit in der Informationstechnik

G 2.136 Fehlende Übersicht über den Informationsverbund

Ohne Überblick über die wesentlichen schützenswerten Informationen, Geschäftsprozesse und IT -Strukturen einer Institution ist weder ein umfassendes Sicherheitsmanagement noch ein funktionierender IT-Betrieb möglich. Dabei müssen nicht nur die technischen Komponenten, sondern auch deren Vernetzung und die räumliche Infrastruktur sowie die Abhängigkeiten der verschiedenen Komponenten untereinander erfasst werden.

Ohne detaillierte Informationen darüber, wo in einer Institution welche IT-Systeme und Anwendungen eingesetzt und welche Geschäftsprozesse und Fachaufgaben damit unterstützt werden, ist z. B. auch kein wirkungsvolles Patch- und Änderungsmanagement möglich. Aus diesem Grund wird eine stets aktuelle und vollständige Bestandsaufnahme aller servicerelevanten Elemente, beispielsweise Netzkomponenten, Server, Clients, Anwendungen und deren Beziehung zueinander benötigt. Dabei ist der Detaillierungsgrad sehr wichtig. Eine zu große Detailtiefe führt zu Unübersichtlichkeit sowie zu gesteigertem Pflegeaufwand. Eine oberflächliche oder unvollständige Bestandsaufnahme der relevanten Elemente kann beispielsweise zur Folge haben, dass diese vom Patch- und Änderungsprozess nicht oder unzureichend erfasst und versorgt werden. Eine Verletzung der Sicherheitsziele der Institution ist in einem solchen Fall nur noch eine Frage der Zeit.

Beispiele:

  • Ein Unternehmen verwaltet in einer Datenbank zahlreiche Informationen für das Patch- und Änderungsmanagement. Als eine neue Softwareversion der verwalteten IT-Systeme installiert werden soll, initiiert der Änderungsmanager die Aktualisierung, indem die installierte Version mit der neuen, verfügbaren Version verglichen wird. Aufgrund von mangelnden personellen Ressourcen wurde allerdings versäumt, die Datensätze zur installierten Softwareversionen aktuell zu halten. Als Folge dieses Versäumnisses wurden Softwareversionen mit gravierenden Sicherheitsschwachstellen übersehen und nicht aktualisiert. Diese Schwachstellen konnten von einem Angreifer ausgenutzt und vertrauliche Informationen ausgelesen werden.
  • In einem Unternehmen werden die Softwarestände und Lizenzen nicht angemessen verwaltet. Dadurch wird bei einigen wichtigen Anwendungen nicht bemerkt, dass der Hersteller für die in der Institution verwendeten Versionen keine Sicherheitspatches mehr zur Verfügung stellt. Auftretende Sicherheitslücken konnten daher nicht zeitnah geschlossen werden.

Stand: 11. EL Stand 2009

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK