Bundesamt für Sicherheit in der Informationstechnik

G 2.185 Fehlende oder unzureichende Softwarewartung (Maintenance) und fehlendes oder unzureichendes Patchlevel-Management

Softwarewartung ist auch unter dem englischen Begriff Software Maintenance bekannt. Hersteller verfolgen mit der Bereitstellung von Softwareaktualisierungen (Patches) das Ziel, Änderungen und Verbesserungen an implementierten Softwarelösungen auch dann noch vorzunehmen, nachdem diese bereits ausgeliefert sind. Auf diesem Weg werden bekannte Fehler behoben, die Leistungsfähigkeit verbessert und dem Einsatz neuer Technik wie z. B. der Nutzung neuer Festplattengenerationen ( SSD , Flash etc.) Rechnung getragen.

Werden Systeme nicht oder lediglich unzureichend gewartet, indem beispielsweise verfügbare Sicherheitspatches nicht eingespielt werden oder auf die Aktualisierung der Firmware verzichtet wird, kann dies zur Instabilität der Systeme und damit zum Ausfall der Speicherlösung führen.

In einigen Fällen ist der reibungslose Betrieb einer Speicherlösung von der Einhaltung einer sogenannten Kompatibilitätsmatrix, bereitgestellt durch den Hersteller, abhängig. In der Kompatibilitätsmatrix werden die in einer Speicherlösung einsetzbaren Hard- und Softwarestände in ihrer wechselseitigen Abhängigkeit beschrieben. Weicht der Firmwarestand einzelner Komponenten von dieser Matrix ab, können Ausfälle oder Performance-Einbußen die Folge sein.

Die Durchführung von Wartungsarbeiten sowie das Patchlevel-Management sind eng mit einem etablierten Verfahren zum Änderungsmanagement verbunden. Fehlt dieses, können vorgenommene Änderungen und damit in Zusammenhang stehende Fehler nur schwer nachvollzogen werden. Aktuelle Versionen eingesetzter Soft- oder Firmware sind im Falle eines fehlenden Änderungsmanagements nur mit erhöhten Aufwänden zu ermitteln.

Der langfristige sichere Betrieb einer Speicherlösung kann durch einen fehlenden Wartungsvertrag ebenfalls gefährdet werden, da die Kompatibilität zu aktuellen Komponenten unter Umständen ein vorheriges Upgrade auf die aktuellste Firmware voraussetzt. Ohne Wartungsvertrag ist ein solches Upgrade unter Umständen gar nicht möglich oder mit erheblichen Kosten verbunden.

Weitere Hinweise für bestehende Gefährdungen im Zusammenhang mit der Wartung von Hardware können der G 2.5 Fehlende oder unzureichende Wartung entnommen werden.

Stand: 14. EL Stand 2014