Management technischer Schwachstellen

Management technischer Schwachstellen

Maßnahme

Informationen über technische Schwachstellen von verwendeten Informationssystemen müssen rechtzeitig eingeholt werden, die Anfälligkeit der Organisation für eine Ausnutzung solcher Schwachstellen ist zu bewerten, und es müssen angemessene Maßnahmen für den Umgang mit dem damit einhergehenden Risiko ergriffen werden.

Umsetzung

Patch-Management

1. Betriebssystem-Sicherheits-Updates (inklusive Microsoft Office) und Updates des Virenscanners werden auf den Windows-Rechnern im Unternehmen automatisch installiert.
2. Die Arbeitsplätze bleiben während der Woche in der Regel eingeschaltet, damit nachts automatisch Updates und Virenupdates sicher durchgeführt werden können. Am Wochenende sind die Arbeitsplatzrechner auszuschalten.
3. Als Linux-Server sind ausschließlich aktuelle LTS-Versionen der jeweiligen Distribution im Einsatz. Updates hierfür, wie auch für eingesetzte Windwos Server werden manuell durchgeführt, sobald dies von der IT-Leitung als sinnvoll erachtet wird. Verfügbare Updates werden durch das eingesetzte Monitoring-System ICINGA angezeigt. Eine Ausnahme bildet der Windowsserver der Vertriebssoftware. Dieser wird durch den Datenschutzbeauftragten verwaltet und von ihm regelmäßig aktualisiert.
4. Das ERP-System steht unter laufender Wartung. Updates werden durch den Hersteller angekündigt und remote durchgeführt.
5. In der Entwicklungs-Abteilung eingesetzte Software wird jeweils gemäß der Richtlinie für sichere Entwicklung manuell auf Initiative der IT-Leitung gepatcht.
6. Für sämtliche sonstige Software auf den Arbeitsplatzrechnern gilt, dass sich die Benutzer selbstständig um die Aktualität der Software bemühen bzw. Autoupdates eingerichtet sind. Strengere Update-Regeln sind hier nicht im Einsatz, da durch andere Sicherheitsmaßnahmen (Firewall, Virenscanner) bereits das Ausnutzen von Lücken in solcher Software erschwert wird.
7. Für Server (in der Firmenzentrale) ist ein manueller Update-Plan programmiert, den die Systemadministratoren verantworten.

Proaktive Maßnahmen gegen Schwachstellen

1. Im Unternehmen werden zur Überwachung der Systeme das Monitoring-Tool ICINGA und das Log-Management-Tool KIBANA eingesetzt. Durch diese Infrastruktur können Schwachstellen bzw. die Ausnutzung von Schwachstellen schneller identifiziert und passende Maßnahmen schneller ergriffen werden. Mit Incinga werden alle Services der u-form Testsysteme überwacht, s. auch [Monitoring im Wiki] (https://u-form.atlassian.net/wiki/spaces/ISB/pages/229998599/Monitoring).
2. Außerdem wird regelmäßig eine professionelle, tool-gestützte (OpenVas bspw.) Schwachstellenanalyse durchgeführt. Die Details sind hier beschrieben.

Beschränkungen der Software-Installation

Maßnahme

Für Software-Installationen durch Benutzer müssen Regeln festgelegt und implementiert werden.

Umsetzung

Die Installation von Software ist entsprechend der Maßnahme Kontrolle von Software im Betrieb reglementiert.

Reviewdatum: 12.11.2024, Johannes Imhof