Kontrolle ist Pflicht

Trau keinem Patch-System

30.06.2009
Von Katharina Friedmann

Transparenz als Pflicht

Um Schwachstellen zu schließen, die eine Manipulation oder das Ausspähen von Informationen ermöglichen, reicht es nach den Grundsätzen des Fachausschusses für Informationstechnologie (FAIT) des Instituts für Wirtschaftsprüfer (IDW) aus, alle entsprechenden Updates über ein Patch-Management-System zu installieren - eine Überprüfung des Verteilerfolgs ist hier nicht explizit gefordert. Anders könnte es künftig jedoch aus juristischer Sicht aussehen: "Der Auftrag an den Administrator, den Patch-Erfolg zu überprüfen, entlässt das Security-Management im Schadensfall nicht aus der Haftung, denn Ersterer kann mangels Ressourcen meist nur Stichproben durchführen", beschreibt der auf IT-Security spezialisierte Rechtsanwalt Robert Niedermeier die Sachlage. Angesichts der heutigen Möglichkeiten für IT-Security-Verantwortliche, in Bezug auf den Sicherheitsstatus ihrer Systeme umfassende Transparenz zu schaffen und damit proaktiv zu handeln, sei ein bloßes Reagieren unzeitgemäß. Ihm zufolge müssen Unternehmen damit rechnen, dass dies im Verfahrensfall auch ein Gutachter vor Gericht so sieht.