Bundesamt für Sicherheit in der Informationstechnik

M 4.107 Nutzung von Hersteller- und Entwickler-Ressourcen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Die meisten Hersteller von IT -Systemen oder IT-Komponenten bieten diverse Unterstützungs- und Informationsangebote für die Anwender ihrer Produkte. Dazu gehören beispielsweise Hilfestellungen zur Problembehebung (Support, Hotline, Updates, Patches, etc. ) und Informationsmöglichkeiten über Sicherheitlösungen (Web-Seiten, Newsgroups, Mailinglisten, etc.). Einige dieser Angebote sind kostenfrei, andere nicht.

Dienstleister

Die Angebote gehen typischerweise von den jeweiligen Herstellern aus, vor allem bei Standardsoftware. Es gibt jedoch auch zahlreiche Angebote von Dienstleistern. Dies gilt insbesondere für Open Source Software, für die die Entwickler oftmals keinen kommerziellen und vertraglich garantierten Support anbieten. Viele Entwickler von Open Source Software benennen jedoch qualifizierte externe Dienstleister in ihren Informationsangeboten. Oftmals sind Mitarbeiter der Dienstleister auch an der Entwicklung der Open Source Software beteiligt. Dadurch sind die Dienstleister in der Lage, Unterstützungsleistungen in einer Qualität anzubieten, die der einer klassischen Herstellerunterstützung entspricht. Auch Hersteller von proprietärer Software arbeiten oft eng mit Dienstleistern zusammen und weisen diese Dienstleister als Partner aus oder zertifizieren deren Dienstleistungen.

Bereits bei der Beschaffung von IT-Systemen oder -Produkten sollte überlegt werden, welche Unterstützungsangebote zusätzlich in Anspruch genommen werden sollen, insbesondere wenn dies laufende Kosten verursacht. Weiter ist zu überlegen, ob der Hersteller selbst oder ein Dienstleister beauftragt wird. Bei der Auswahl eines Dienstleisters ist zu beachten, dass ein größerer Dienstleister mehrere Anwendungen betreuen kann. Allerdings sind größere Dienstleister oft nicht spezialisiert genug, um für jedes Produkt qualitativ gleichwertige Unterstützungsleistungen bieten zu können.

Es sollte sichergestellt sein, dass für alle eingesetzten IT-Systeme und -Produkte regelmäßig überprüft wird, ob neue Informationen über Sicherheitsprobleme und Lösungsmöglichkeiten seitens der Hersteller oder anderer Quellen vorhanden sind. Dies ist besonders bei allen Server-Betriebssystemen wichtig, da eine Sicherheitslücke auf einem Server wesentlich mehr Schäden verursachen kann als auf einem Client.

Sicherheitsspezifische Updates

Sicherheitsspezifische Updates sollten nur von vertrauenswürdigen Stellen bezogen werden, zum Beispiel vom Hersteller, von den Entwicklern, von vertrauenswürdigen Dienstleistern oder CERT s (siehe auch M 2.35 Informationsbeschaffung über Sicherheitslücken des Systems ). Die Updates sind mittels kryptographischer Methoden zu überprüfen, soweit die Dateien entsprechend verschlüsselt bzw. signiert angeboten werden.

Damit jederzeit auf sicherheitsrelevante Hinweise zugegriffen werden kann, sollte für alle eingesetzten Betriebssysteme und alle wichtigen IT-Produkte eine Übersicht geführt werden. Aus dieser sollte hervorgehen, unter welchen WWW -Adressen sicherheitsspezifische Updates und Patches bzw. Informationen gefunden werden können. Diese Adressen sind meist in der Produktdokumentation zu finden. Sehr oft wird auf der Web-Seite von Herstellern oder Anbietern direkt auf diese Informationen verwiesen. Erfahrungsgemäß verändern sich Links häufig, sodass es wichtig ist, diese regelmäßig auf ihre Korrektheit zu überprüfen und, wenn es erforderlich ist, zu aktualisieren.

Prüffragen:

  • Wurde geprüft, welche Unterstützungsleistungen für ein Produkt angeboten werden und ob es sinnvoll ist, diese in Anspruch zu nehmen?

  • Wird für alle eingesetzten IT-Systeme und Produkte regelmäßig überprüft, ob neue Informationen über Sicherheitsprobleme und Lösungsmöglichkeiten seitens der Hersteller oder anderer Quellen vorliegen?

  • Sind Maßnahmen zum Schutz der Integrität von Patches und Updates getroffen worden?

  • Existiert eine aktuelle Übersicht über die eingesetzten IT-Produkte und der jeweiligen Support-Möglichkeiten?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK