Bundesamt für Sicherheit in der Informationstechnik

G 4.71 Probleme bei der automatisierten Verteilung von Patches und Änderungen

Häufig werden Patches und Änderungen nicht manuell, sondern zentral softwareunterstützt verteilt. Der Einsatz der softwarebasierten Werkzeuge im Rahmen des Patch- und Änderungsmanagements ist neben einigen Vorteilen auch mit Nachteilen verbunden. Bei komplexen IT-Strukturen einer Institution können einzelne Fehler beim Patchen der IT-Systeme massenhafte Sicherheitsprobleme nach sich ziehen. Besonders gravierend ist dies, wenn auf vielen Systemen gleichzeitig Software installiert wird, die Sicherheitslücken enthält.

Treten nur vereinzelte Fehler auf, lassen sie sich oft per Hand beheben. Problematisch wird es aber, wenn das IT-System dauerhaft nicht im LAN erreichbar ist. Ein Beispiel sind Außendienstmitarbeiter, die ihre Rechner nur selten und unregelmäßig an das LAN anschließen. Wenn beispielsweise das Werkzeug so konfiguriert wird, dass die Aktualisierungen nur innerhalb eines bestimmten Zeitraums verteilt werden und nicht alle IT-Systeme erreichbar sind, können diese IT-Systeme nicht aktualisiert werden.

Beispiel:

In einem Unternehmen wurden auf die Sicherheitsgateways (Firewalls) verschärfte Paketfilterregeln aufgespielt. Dies führte dazu, dass kein Zugriff auf das LAN mehr möglich war. Eine automatisierte Behebung war ebenfalls nicht mehr möglich und die manuelle Behebung dauerte sehr lange. Während dieser Zeit standen keine Serverdienste mehr zur Verfügung, was das Unternehmen Zeit und Geld kostete.

Stand: 10. EL Stand 2008