IT-Sicherheit durch stetige Veränderung

Always change a ­running system

| Autor / Redakteur: Sven Malte Sopha & Jan Graßhoff* / Susanne Ehneß

Lebenszyklen von Hard-/Software synchronisieren

Sven Malte Sopha
Sven Malte Sopha (Bild: Cassini)

Bei Geldautomaten ist es ähnlich. 95 Prozent dieser Systeme werden mit Windows XP betrieben, auch sie können nicht ohne weiteres auf neue Versionen migriert werden. Während die Deutsche Kreditwirtschaft die fehlende Verbindung der Geldautomaten ins öffentliche Internet als Sicherheitsmerkmal ansieht – wodurch auf Windows XP basierende Geräte weiterhin sicher betrieben werden könnten –, ist Kaspersky Labs der gegenteiligen Auffassung: Fast alle Geldautomaten seien wegen des veralteten Windows XP für Angriffe anfällig.

Strukturiertes Sicherheits- und Patchmanagement

Weil neue Sicherheitslücken jederzeit entdeckt werden können, ist es unzureichend, Systeme nur einmalig abzusichern. Die Frage, ob Systeme ausreichend abgesichert sind, muss kontinuierlich gestellt werden. Diese regelmäßige Überprüfung ist als betriebliche Aufgabe zu verstehen. Auf Grund der Komplexität und der Abhängigkeit von Komponenten und Systemen kann die Wirksamkeit der Absicherung erst nach Prüfung aller gemeinsam agierenden Sicherheitsmaßnahmen bewertet werden.

Die Herausforderung für alle Organisationen – auch für Behörden und Öffentliche Verwaltungen – besteht darin, ein Managementsystem zu etablieren, um diese Überprüfung im Rahmen der betrieblichen Aufgaben durchzuführen. Es ist entscheidend, bei Bedarf die notwendigen Änderungen in einem strukturierten Verfahren vornehmen zu können, ohne dabei den Betrieb und andere Systeme zu gefährden. Ein Sicherheits- und Patchmanagement (SuP), das in der Organisation verankert und standardisiert ist, kann die übergreifende Struktur für Abteilungen und Fachbereiche bieten.

Zentrale Aufgabe des SuP ist es, sowohl planbare als auch nicht planbare, kurzfristige Änderungen an Systemen umzusetzen. Dies kann nicht nur Software-, sondern auch Hardwarekomponenten oder betriebliche Abläufe betreffen. Hier gilt es, Abhängigkeiten zu betrachten, um ungewollte Ausfälle von Diensten im Rahmen von Aktualisierungen zu vermeiden.

Änderungen an Systemen ohne Abhängigkeiten lassen sich innerhalb der Organisationseinheit umsetzen. Für größere, komplexere Änderungen ist es allerdings ratsam, ein übergreifendes Gremium zu etablieren. Ein Change Advisory Board (CAB), das standardisierte, aufeinander abgestimmte Abläufe und geregelte Verantwortlichkeiten aufweist, kann eingereichte Änderungsanträge strukturiert bearbeiten.

In der Praxis hat es sich bewährt, in ein CAB alle relevanten Bereiche einzubeziehen – auch Stabsfunktionen wie IT-Sicherheitsbeauftragter und Datenschützer. Entscheidungen, etwa zur Einspielung von Software-Updates oder Hardwarewechseln, lassen sich dann unter Berücksichtigung aller betrieblichen und sicherheitsrelevanten Abhängigkeiten treffen.

Ergänzendes zum Thema
 
Always change a ­running system

Lifecycle Management: Sicherheit & ausmustern

In Organisationen kommen meist unterschiedliche IT-Systeme und Komponenten zum Einsatz, für die in der Regel verschiedene Fachbereiche zuständig sind. Jede Hardwarekomponente hat einen Lifecycle. In Abhängigkeit davon findet der Herstellersupport statt – und die Bereitstellung neuer Softwareversionen, die Fehler beseitigen oder den Funktionsumfang erweitern. Fehlende (Sicherheits-)Funktionalitäten in einer Komponente können aber nicht immer durch eine einfache Aktualisierung der Firmware nachgerüstet werden. Neue kryptografische Algorithmen etwa lassen sich nur dann per Software-Update aufspielen und nutzen, wenn die eingesetzte Hardware dies auch unterstützt. Sollen jeweils aktuelle kryptografische Algorithmen eingesetzt werden, ist meist ein bedarfsgerechter Austausch von Komponenten erforderlich. Es gilt darum, neue Beschaffungen in Abstimmung mit den fachlich verantwortlichen Bereichen frühzeitig zu planen.

Auf der nächsten Seite geht es weiter.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44234312 / System & Services)