G 2.133 Mangelhaft festgelegte Verantwortlichkeiten beim Patch- und Änderungsmanagement

Auch im Rahmen des Patch- und Änderungsmanagements sollten eindeutige Verantwortlichkeiten festgelegt werden. Treten Situationen ein, in denen die Verantwortlichkeiten nicht oder fehlerhaft geregelt sind, können erhebliche Nachteile entstehen. Beispielsweise könnten ungeregelte Zuständigkeiten dazu führen, dass gravierende Sicherheitslücken nicht zeitnah geschlossen werden, da niemand die Verantwortung für einen Notfallpatch tragen will.

Mangelhaft festgelegte, sich überschneidende oder ungeklärte Verantwortlichkeiten im Patch- und Änderungsmanagement verlangsamen das Einordnen der Änderungsanforderungen (Requests for Change) in Kategorien und die Vergabe von Prioritäten und damit das gewünschte Verteilen der Patches und Änderungen ("Rollout"). Auch die vorschnelle Freigabe einer Änderung oder eines Patches, ohne Testlauf und Berücksichtigung aller (fachlichen) Aspekte, kann gravierende Auswirkungen auf die Sicherheit haben.

Im Extremfall können mangelhaft festgelegte Verantwortlichkeiten die gesamte Institution komplett oder in großem Umfang beeinträchtigen. Störungen im Betrieb wirken sich auf die Verfügbarkeit aus, die nicht erfolgte Verteilung von sicherheitsrelevanten Patches auf die Vertraulichkeit bzw. Integrität.

Beispiele: