G 2.137 Fehlende und unzureichende Planung bei der Verteilung von Patches und Änderungen

Damit Patches und Änderungen in der vorgesehenen Zeitspanne in einer Institution verteilt werden können, müssen im Rahmen des Patch- und Änderungsmanagements die hierfür nötigen technischen und personellen Ressourcen eingeplant werden. Stehen keine ausreichenden Ressourcen zur Verfügung, besteht die Gefahr, dass die Verteilung von Änderungen länger dauert als geplant oder sogar fehlschlägt. Dadurch könnten Geschäftsprozesse mit hohen Verfügbarkeitsanforderungen beeinträchtigt werden, wenn z. B. hierfür benötigte Server oder Datenbanken ausfallen.

Patches und Änderungen können auch softwarebasiert verteilt werden. Wenn die hierfür benutzte Software sich allerdings nicht an die wachsende und komplexer werdende IT -Landschaft anpassen lässt, wird die Verteilung letztendlich zeitintensiver. Dadurch können Sicherheitsupdates nicht mehr zeitnahe verteilt werden.

Teilweise ist die Reihenfolge, in der Patches und Änderungen verteilt werden müssen, für die Konsistenz und Sicherheit des gesamten Systems relevant. Beispielsweise könnte eine neue Version einer Sicherheitssoftware ein Betriebssystem erfordern, bei dem alle aktuellen Patches eingespielt sind. In diesem Fall sind zuerst die Betriebssysteme im Informationsverbund zu aktualisieren, gegebenenfalls neu zu starten und dann kann erst die neue Sicherheitssoftware aufgespielt werden. Eine Verteil-Software, die nicht die schon vorhandenen Patches und Änderungen prüft, könnte versuchen, die Sicherheitssoftware vor dem gelungenen Betriebssystemupdate zu installieren. Dadurch würde sie ein inkonsistentes oder sogar ungepatchtes System hinterlassen.

Wird Software auf IT-Systemen aktualisiert, muss anschließend oft die Anwendung oder das Betriebssystem neu gestartet werden. Komplexe Anwendungen wie Datenbanken benötigen einige Zeit, um nach einem Update ihre Daten wieder zur Verfügung zu stellen. In dieser Zeit sind die Anwendungen und Daten der Systeme nicht verfügbar. Bei Systemen mit hohen Anforderungen an die Verfügbarkeit kann das negative Auswirkungen für die Institution haben. Dies ist besonders der Fall, wenn die Systeme auf Grund von Fehlern während des Änderungsvorganges länger als geplant nicht verfügbar sind. Solche Ausfälle können dazu führen, dass Mitarbeiter oder Kunden bei ihrer Arbeit beeinträchtigt werden.

Beispiele: