Bundesamt für Sicherheit in der Informationstechnik

G 2.137 Fehlende und unzureichende Planung bei der Verteilung von Patches und Änderungen

Damit Patches und Änderungen in der vorgesehenen Zeitspanne in einer Institution verteilt werden können, müssen im Rahmen des Patch- und Änderungsmanagements die hierfür nötigen technischen und personellen Ressourcen eingeplant werden. Stehen keine ausreichenden Ressourcen zur Verfügung, besteht die Gefahr, dass die Verteilung von Änderungen länger dauert als geplant oder sogar fehlschlägt. Dadurch könnten Geschäftsprozesse mit hohen Verfügbarkeitsanforderungen beeinträchtigt werden, wenn z. B. hierfür benötigte Server oder Datenbanken ausfallen.

Patches und Änderungen können auch softwarebasiert verteilt werden. Wenn die hierfür benutzte Software sich allerdings nicht an die wachsende und komplexer werdende IT -Landschaft anpassen lässt, wird die Verteilung letztendlich zeitintensiver. Dadurch können Sicherheitsupdates nicht mehr zeitnah verteilt werden.

Teilweise ist die Reihenfolge, in der Patches und Änderungen verteilt werden müssen, für die Konsistenz und Sicherheit des gesamten Systems relevant. Beispielsweise könnte eine neue Version einer Sicherheitssoftware ein Betriebssystem erfordern, bei dem alle aktuellen Patches eingespielt sind. In diesem Fall sind zuerst die Betriebssysteme im Informationsverbund zu aktualisieren, gegebenenfalls neu zu starten und dann kann erst die neue Sicherheitssoftware aufgespielt werden. Eine Verteil-Software, die nicht die schon vorhandenen Patches und Änderungen prüft, könnte versuchen, die Sicherheitssoftware vor dem gelungenen Betriebssystemupdate zu installieren. Dadurch würde sie ein inkonsistentes oder sogar ungepatchtes System hinterlassen.

Wird Software auf IT-Systemen aktualisiert, muss anschließend oft die Anwendung oder das Betriebssystem neu gestartet werden. Komplexe Anwendungen wie Datenbanken benötigen einige Zeit, um nach einem Update ihre Daten wieder zur Verfügung zu stellen. In dieser Zeit sind die Anwendungen und Daten der Systeme nicht verfügbar. Bei Systemen mit hohen Anforderungen an die Verfügbarkeit kann das negative Auswirkungen für die Institution haben. Dies ist besonders der Fall, wenn die Systeme auf Grund von Fehlern während des Änderungsvorganges länger als geplant nicht verfügbar sind. Solche Ausfälle können dazu führen, dass Mitarbeiter oder Kunden bei ihrer Arbeit beeinträchtigt werden.

Beispiele:

  • In einer Institution wird ein Sicherheitspatch für einen Windows Server eingespielt. Dieser muss anschließend neu gestartet werden. Das System ist in dieser Zeit nicht verfügbar. Da auf diesem Server der Anmeldeprozess an das interne LAN läuft, können sich die Benutzer während dieser Zeit nicht anmelden und nur eingeschränkt arbeiten. Die Institution hat mit ihren Kunden ein hohes Verfügbarkeitsniveau durch Service Level Agreements vereinbart und verstößt auf diese Weise gegen bestehende Verträge.
  • Die IT-Abteilung eines Unternehmens installiert einen Sicherheitspatch auf einem Voice-over-IP-Server. Beim Neustart des Systems muss zusätzlich noch die Konfigurationsdatei des VoIP -Dienstes angepasst werden. In dieser Zeit können keine externen Anrufe entgegen genommen werden. Die mangelnde Erreichbarkeit des Unternehmens wirkt sich negativ auf die Außenwahrnehmung bei Kunden aus.

Stand: 10. EL Stand 2008