G 2.132 Mangelnde Berücksichtigung von Geschäftsprozessen beim Patch- und Änderungsmanagement

In Behörden und Unternehmen sollten sich die Informationssicherheitsprozesse ebenso wie die Sicherheitsmaßnahmen an den Geschäftszielen und Geschäftsprozessen der Institution orientieren. Die im Rahmen des Patch- und Änderungsmanagements durchgeführten Veränderungen an IT-Systemen können die Effizienz von einzelnen Sicherheitsmaßnahmen verringern und damit zu einer Gefährdung der Gesamtsicherheit führen. Ungeeignete Patches und Änderungen können unter anderem den reibungslosen Ablauf der Geschäftsprozesse beeinträchtigen oder gar den kompletten Ausfall der beteiligten IT-Systeme verursachen. Auch ein noch so umfangreiches Testverfahren kann nicht vollkommen ausschließen, dass sich ein Patch oder eine Änderung im späteren Produktivbetrieb in speziellen Konstellationen als fehlerbehaftet erweist.

Wird im Laufe des Patch- und Änderungsprozesses die Auswirkung, Kategorie oder Priorität einer eingereichten Änderungsanforderung (RfC, Request for Change) in Bezug auf die Geschäftsprozesse falsch eingeschätzt, kann sich das angestrebte Sicherheitsniveau verringern. Solche Fehleinschätzungen sind überwiegend das Resultat mangelnder Abstimmung zwischen den IT-Verantwortlichen und den zuständigen Fachabteilungen.

Indem Änderungen und Patches eingespielt werden, können zwar Sicherheitslücken geschlossen, aber auch unbeabsichtigt ein großer Schaden angerichtet werden. Beispielsweise könnte durch einen fehlerhaften Patch eine größere Sicherheitslücke entstehen oder die Verfügbarkeit einer Applikation beziehungsweise eines Geschäftsprozesses reduziert werden.

Beispiele: