IT-Sicherheit durch stetige Veränderung
Always change a running system
Fortsetzung des Artikels von Teil 1
Windows XP: Ablösung trotz Vorlauf eine Herausforderung
Plötzlich bekanntwerdende Sicherheitslücken stellen alle Organisationen, ob aus der Privatwirtschaft oder der öffentlichen Verwaltung, vor große Herausforderungen. Aber diese Herausforderungen kann es selbst dann noch geben, wenn der Handlungsbedarf schon seit langem bekannt und geplant ist. Als Beispiel sei hier das Ende des Supports für das Betriebssystem Windows XP genannt. Das bevorstehende Ende des Lifecycles wurde von Microsoft einige Jahre im Voraus angekündigt. Berichte der Fachmedien machen dennoch deutlich, dass große Organisationen ihre Schwierigkeiten mit der Umstellung von Windows XP auf Windows 7 hatten und haben. Mit entsprechenden Herausforderungen waren etwa auch der Deutsche Bundestag und die Berliner Landesverwaltung konfrontiert.
Die Lebenszyklen von Hard- und Software müssen aufeinander abgestimmt sein
Windows XP läuft aber nicht nur auf gewöhnlichen Rechnern, sondern auch auf speziellen Geräten mit besonderen Aufgaben, z.B. in der Medizintechnik. Ist der Lifecycle der Hardware aber länger als der der sie steuernden Software, laufen diese Geräte meist weiterhin mit einem veralteten Betriebssystem – und die neu entdeckten Sicherheitslücken der Software werden in diesen Fällen nicht geschlossen. Dabei spielt gerade in einem Bereich wie der Medizintechnik die Sicherheit eine ganz besondere, übergeordnete Rolle.
Bei Geldautomaten gestaltet sich die Situation ähnlich. Hier werden noch rund 95 Prozent der Systeme mit Windows XP betrieben. Wie Geräte in der Medizintechnik können auch Geldautomaten nicht ohne weiteres auf neue Versionen des Betriebssystems migriert werden. Während die Deutsche Kreditwirtschaft die fehlende Verbindung der Geldautomaten ins öffentliche Internet als Sicherheitsmerkmal ansieht – wodurch auf Windows XP basierende Geräte weiterhin sicher betrieben werden könnten – ist Kaspersky Labs der gegenteiligen Auffassung: Fast alle Geldautomaten seien wegen des veralteten Windows XP für Angriffe anfällig.
Ein strukturiertes Sicherheits- und Patchmanagement erhöht die Sicherheit
Neue Sicherheitslücken können jederzeit entdeckt werden. Systeme nur einmalig abzusichern, ist somit unzureichend. Die Frage, ob Systeme ausreichend abgesichert sind oder nicht, muss kontinuierlich gestellt werden. Diese regelmäßige Überprüfung ist als betriebliche Aufgabe zu verstehen. Auf Grund der Komplexität und der Abhängigkeit von Komponenten und Systemen kann die Wirksamkeit der Absicherung erst nach Prüfung aller gemeinsam agierenden Sicherheitsmaßnahmen bewertet werden.
Die Herausforderung für alle Organisationen besteht darin, ein Managementsystem zu etablieren, damit diese Überprüfung im Rahmen der betrieblichen Aufgaben durchgeführt wird. Es ist entscheidend, bei Bedarf die notwendigen Änderungen in einem strukturierten Verfahren vornehmen zu können, ohne dabei den Betrieb und andere Systeme zu gefährden. Ein Sicherheits- und Patchmanagement (SuP), das in der Organisation verankert und standardisiert ist, kann die übergreifende Struktur für Abteilungen und Fachbereiche bieten. Zentrale Aufgabe des SuP ist es, sowohl planbare als auch nicht planbare, kurzfristige Änderungen an Systemen umzusetzen. Diese Änderungen können nicht nur Software-, sondern auch Hardwarekomponenten oder betriebliche Abläufe betreffen. Dabei gilt es, Abhängigkeiten zu betrachten, damit ungewollte Ausfälle von Diensten im Rahmen von Aktualisierungen vermieden werden.
Änderungen an Systemen ohne Abhängigkeiten lassen sich innerhalb der Organisationseinheit selbst umsetzen. Für größere und komplexere Änderungen ist es allerdings ratsam, ein übergreifendes Gremium zu etablieren. Ein Change Advisory Board (CAB), das standardisierte, aufeinander abgestimmte Abläufe und geregelte Verantwortlichkeiten aufweist, ist in der Lage, eingereichte Änderungsanträge strukturiert zu bearbeiten. In der Praxis hat es sich bewährt, dass in einem CAB alle relevanten Bereiche einbezogen werden – auch Stabsfunktionen wie etwa IT-Sicherheitsbeauftragter und Datenschützer. Entscheidungen, beispielsweise zur Einspielung von Software-Updates oder Hardwarewechseln, können dann unter Berücksichtigung aller betrieblichen und sicherheitsrelevanten Abhängigkeiten getroffen werden.
- Always change a running system
- Windows XP: Ablösung trotz Vorlauf eine Herausforderung
- Sicherheit durch regelmäßiges Ausmustern
Lesen Sie mehr zum Thema
