Strukturiertes Sicherheits- und Patchmanagement
Neue Sicherheitslücken können jederzeit entdeckt werden. Systeme nur einmalig abzusichern, ist somit unzureichend. Die Frage, ob Systeme ausreichend abgesichert sind oder nicht, muss kontinuierlich gestellt werden. Diese regelmäßige Überprüfung ist als betriebliche Aufgabe zu verstehen. Auf Grund der Komplexität und der Abhängigkeit von Komponenten und Systemen kann die Wirksamkeit der Absicherung erst nach Prüfung aller gemeinsam agierenden Sicherheitsmaßnahmen bewertet werden.
Die Herausforderung für alle Organisationen besteht darin, ein Managementsystem zu etablieren, damit diese Überprüfung im Rahmen der betrieblichen Aufgaben durchgeführt wird. Es ist entscheidend, bei Bedarf die notwendigen Änderungen in einem strukturierten Verfahren vornehmen zu können, ohne dabei den Betrieb und andere Systeme zu gefährden. Ein Sicherheits- und Patchmanagement (SuP), das in der Organisation verankert und standardisiert ist, kann die übergreifende Struktur für Abteilungen und Fachbereiche bieten. Zentrale Aufgabe des SuP ist es, sowohl planbare als auch nicht planbare, kurzfristige Änderungen an Systemen umzusetzen. Diese Änderungen können nicht nur Software-, sondern auch Hardwarekomponenten oder betriebliche Abläufe betreffen. Dabei gilt es, Abhängigkeiten zu betrachten, damit ungewollte Ausfälle von Diensten im Rahmen von Aktualisierungen vermieden werden.
Änderungen an Systemen ohne Abhängigkeiten lassen sich innerhalb der Organisationseinheit selbst umsetzen. Für größere und komplexere Änderungen ist es allerdings ratsam, ein übergreifendes Gremium zu etablieren. Ein Change Advisory Board (CAB), das standardisierte, aufeinander abgestimmte Abläufe und geregelte Verantwortlichkeiten aufweist, ist in der Lage, eingereichte Änderungsanträge strukturiert zu bearbeiten. In der Praxis hat es sich bewährt, dass in einem CAB alle relevanten Bereiche einbezogen werden - auch Stabsfunktionen wie etwa IT-Sicherheitsbeauftragter und Datenschützer. Entscheidungen, beispielsweise zur Einspielung von Software-Updates oder Hardwarewechseln, können dann unter Berücksichtigung aller betrieblichen und sicherheitsrelevanten Abhängigkeiten getroffen werden.
- Glauben Sie ...
... an die Möglichkeit, ihre Systeme gründlichst verteidigen zu können und versuchen Sie daher, alles dafür zu tun, alle Bereiche des Unternehmens jeden Tag ein bisschen besser zu schützen? - Schauen Sie ...
... sich nach neuen Instrumenten um, die Funktionsumfang und -tiefe der bestehenden Security-Werkzeuge verbessern? - Überwachen Sie ...
... alle Sensoren Ihres Netzes - sowohl visuell als auch mit technischen Mitteln? - Suchen Sie ...
... kontinuierlich nach neuen Wegen, um Sensordaten besser zu untersuchen und zueinander in Beziehung setzen zu können? - Widmen Sie ...
... der Sicherheit Ihrer geschäftskritischen Anwendungen samt der dort verarbeiteten vertraulichen Daten erhöhte Aufmerksamkeit? - Versuchen Sie ...
... Tag für Tag, Ihr Business besser zu verstehen, damit Sie die IT-Risikoanalyse dem anpassen und stetig verbessern können? - Behalten Sie ...
... Ihre Zulieferer im Blick, damit der Zugriff von Dritten auf vertrauliche und sensible Daten kontrolliert werden kann? - Arbeiten Sie ...
... eng mit den Geschäftsentscheidern zusammen, um die Aufmerksamkeit für das Thema IT-Sicherheit konstant hoch zu halten und über das gesamte Unternehmen hinweg eine Awareness zu erzeugen? - Bewegen Sie ...
... sich in neuen Geschäftsfeldern, in denen disruptive Technologien zum Einsatz kommen und in denen Sie Ihr Security-Wirken schon entfalten können, bevor es richtig ernst wird? - Verlieren Sie ...
... nie die Security-Grundlagen aus den Augen - wie beispielsweise das regelmäßige Patchen?
Lifecycle Management: Sicherheit durch regelmäßiges Ausmisten
In Organisationen kommen meist unterschiedliche IT-Systeme und Komponenten zum Einsatz, für die in der Regel verschiedene Fachbereiche zuständig sind. Jede Hardwarekomponente hat einen sogenannten Lifecycle, einen Lebenszyklus. In Abhängigkeit von diesem Lifecycle findet der Herstellersupport statt - und die Bereitstellung neuer Softwareversionen, die Fehler beseitigen und möglicherweise den Funktionsumfang erweitern. Fehlende (Sicherheits-)Funktionalitäten in einer Komponente können jedoch nicht immer durch eine einfache Aktualisierung der Firmware nachgerüstet werden. Im Sicherheitsbereich lassen sich beispielsweise nur dann neue kryptografische Algorithmen per Softwareupdate aufspielen und nutzen, wenn die eingesetzte Hardware diese Algorithmen auch unterstützt. Sollen jeweils aktuelle kryptografische Algorithmen eingesetzt werden, ist meist ein bedarfsgerechter Austausch von Komponenten erforderlich. Es gilt darum, neue Beschaffungen in Abstimmung mit den fachlich verantwortlichen Bereichen frühzeitig zu planen. Im Fokus dürfen dabei nicht nur funktionale Anforderungen stehen, sondern primär auch strategische und sicherheitsrelevante Anforderungen.
Ein gutes Beispiel für das Ende eines Software-Lifecycles liefert das GSTOOL vom BSI, das seit 1998 dabei unterstützt, Sicherheitskonzepte entsprechend dem IT-Grundschutz zu erstellen, zu verwalten und fortzuschreiben. Im Oktober 2014 kündigte das BSI die Einstellung und das Supportende von GSTOOL zum Ende des Jahres 2016 an. Die Nutzer sind seitdem aufgefordert, die Außerbetriebnahme ihrer GSTOOL-Instanz vorzubereiten und auf ein anderes Information Security Management System (ISMS) zu migrieren. Ein ISMS-Tool ist ein wesentlicher Baustein in der Sicherheitsorganisation, da mit diesem Werkzeug die Umsetzung von Sicherheitsmaßnahmen gesteuert werden kann. Die Verfahrensverantwortlichen für das ISMS-Tool sollten also umgehend mit gutem Beispiel vorangehen und den Einsatz eines Nachfolgers planen und realisieren.