Risikofaktor Patch-Management

IT-Security-Controlling - Aufgabe des Managements

Ampeg-Geschäftsführer Graf führt den diesbezüglichen Missstand allerdings weniger auf technische Defizite als auf die Laissez-faire-Haltung des Managements zurück: "Ich sehe das Hauptproblem darin, dass es für das Patchen von Seiten des Managements keine klaren Vorgaben in Sachen Qualitätskontrolle gibt." Folglich ständen den IT-Administratoren in der Regel nicht annähernd genügend personelle und technische Ressourcen zur Verfügung, um den automatischen Patch-Prozess sauber zu überwachen und die kritischen Systeme einer tiefer gehenden Untersuchung zu unterziehen - und gerade dort eine Erfolgsquote von 100 Prozent sicherzustellen.

Welche Folgen es haben kann, wenn ein dahin gehendes Monitoring unterbleibt, beschreibt Graf am Fall einer Firma, das sich den Wurm Conficker eingefangen hat, weil vier kritische Server nicht gepatcht waren. "Daraufhin lag das Unternehmen fast einen Tag lang zu 50 Prozent lahm", berichtet der Experte aus der Praxis.

Um Schwachstellen zu schließen, die eine Manipulation oder das Ausspähen von Informationen ermöglichen, reicht es nach den Grundsätzen des Fachausschusses für Informationstechnologie (FAIT) des Instituts für Wirtschaftsprüfer (IDW) aus, alle entsprechenden Updates über ein Patch-Management-System zu installieren - eine Überprüfung des Verteilerfolgs ist hier nicht explizit gefordert. Anders könnte es künftig jedoch aus juristischer Sicht aussehen: "Der Auftrag an den Administrator, den Patch-Erfolg zu überprüfen, entlässt das Security-Management im Schadensfall nicht aus der Haftung, denn Ersterer kann mangels Ressourcen meist nur Stichproben durchführen", beschreibt der auf IT-Security spezialisierte Rechtsanwalt Robert Niedermeier die Sachlage.

Angesichts der heutigen Möglichkeiten für IT-Security-Verantwortliche, in Bezug auf den Sicherheitsstatus ihrer Systeme umfassende Transparenz zu schaffen und damit proaktiv zu handeln, sei ein bloßes Reagieren unzeitgemäß. Ihm zufolge müssen Unternehmen damit rechnen, dass dies im Verfahrensfall auch ein Gutachter vor Gericht so sieht. (ala)

Diesen Beitrag haben wir von unserer Schwesterpublikation Computerwoche übernommen.