Bundesamt für Sicherheit in der Informationstechnik

G 3.92 Fehleinschätzung der Relevanz von Patches und Änderungen

Wird die Bedeutung von Patches für den sicheren IT-Betrieb falsch eingeschätzt, kann dies zu einer falschen Priorisierung führen. Werden die Aktualisierungen falsch priorisiert, kann es passieren, dass erst unwichtige Patches installiert werden. Wichtige Patches hingegen werden dann zu spät installiert und Sicherheitslücken bleiben länger unbehoben.

Das Patch- und Änderungsmanagement wird oft durch softwarebasierte Werkzeuge unterstützt. Auch diese Werkzeuge können Softwarefehler enthalten und dadurch unzureichende oder fehlerhafte Angaben über eine Änderung machen. Daher müssen die Angaben, die ein solches Tool über eine Änderung macht, immer überprüft und auf Plausibilität getestet werden.

Beispiele:

  • Beim Patch- und Änderungsmanagement schätzt ein Mitarbeiter die Relevanz und damit auch die Priorität eines Sicherheitspatches fälschlicherweise als sehr hoch ein und veranlasst, dass ein Emergency-Patch auf alle betroffenen Systeme eingespielt wird. Durch die verkürzten Testphasen wird ein Fehler in diesem Patch übersehen, der eine schwerwiegende Sicherheitsschwachstelle an einer anderen Stelle öffnet.

Stand: 10. EL Stand 2008

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK