Back-to-School: Aus dem Klassenzimmer vom CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI Grundschutzhandbuch und die Teilnehmenden bereiten sich begleitend auf die CISSP Prüfung vor. Somit ist es ein Teil des 15-tägigen Lehrgangs, ein CISSP oder BSI Fachthema als Blogpost aufzubereiten:

Information Security: Herausforderung sicherer Softwareupdate

Mit Bezug auf Sicherheit nehmen Updates von Software (inkl. Firmware) eine zentrale, aber ambivalente Rolle ein. Zum einen erlauben nur Updates, mit der wechselnden Bedrohungslage durch Behebung von Schwachstellen Schritt zu halten. Zum anderen sind aber Updates selbst sicherheitstechnisch nicht unproblematisch. Die evidenten Probleme sind die betrieblichen Auswirkungen der Updates. Sie verursachen in aller Regel Unterbrüche, die sich negativ auf die Verfügbarkeit auswirken. Im Vorfeld sind die neuen Software-Versionen zu testen, um sicherzustellen, dass keine unerwarteten Probleme im produktiven Betrieb auftreten. Nicht zu unterschätzen ist die Festlegung von Richtlinien, welche Updates berücksichtigt werden sollen. Dabei ist heute der Umfang der betroffenen Systeme ungleich grösser als noch vor einem oder zwei Jahrzehnten und wird im Hinblick auf IoT abermals anwachsen. Dabei tritt speziell ausserhalb der klassischen IT neu das Phänomen auf, dass für viele Systeme trotz bekannter Schwachstellen keine Updates zur Verfügung stehen. Diese Systeme reichen vom trivialen Fall wie Smartphones bis zum komplexen Fall gesamter industrieller Anlagensteuerungen.

Information Security für Softwareupdates: Sicheres Vorgehen

Auch im günstigen Fall bleiben Updates ein heikles Abwägen zwischen einer zeitnahen Reaktion auf neue Bedrohungen und einer soliden betrieblichen Durchführung des damit verbundenen Change-Prozesses. Die übergeordnete Richtlinie muss verhindern, dass die Updates herstellergetrieben durchgeführt werden, da dies bei einem heterogenen Systempark zu ungleichen Sicherheitsstandards führt. Es ist in der Praxis häufig anzutreffen, dass die gängigen Betriebssysteme ungeachtet der Gefährdungsexposition monatlich und ohne vorgängigen Tests einem Update unterzogen werden, während exponierte, aber wenig standardisierte Einrichtungen vergessen gehen. Updates sind in einer Gesamtbetrachtung im Kontext der Lebenszyklus-Planung zu sehen. Das schliesst bei der Systemeinführung ein, dass über den erwarteten Lebenszyklus eine adäquate Versorgung mit Updates garantiert und vorausblickend die Dekommissionierung des Systems geplant wird, wenn zum End-of-Support resp. End-of-Life keine Updates mehr zur Verfügung gestellt werden. Es ist erschreckend, wie viele Systeme mit beendetem Hersteller-Support wegen fehlender Lebenszyklus-Planung im operativen Einsatz bleiben müssen. Durch die Abhängigkeiten zwischen den Systemen ist eine umfassende Testabdeckung nur mit einer mehrfach ausgelegten Infrastruktur möglich, die über möglichst vollständige Test- und Integrationsumgebungen verfügen. Während bei IT-Systemen auf diese Art mit entsprechenden Investitionen in die Infrastruktur und entsprechendem Aufwand im Betrieb eine solide Umsetzung des Update-Prozesses realisiert werden kann, bereiten System ausserhalb der IT in dieser Hinsicht fast unüberwindbare Schwierigkeiten. Ob Gebäudesteuerungen oder Industrieanlagen bieten viele informatisierte Systeme ausserhalb der klassischen IT keine adäquaten Test- und Integrationsumgebungen für den Updateprozess, da sie eng mit einer physischen Installation verknüpft sind, die nur einmal als produktive Umgebung besteht.

Information Security Softwareupdate: Kritischer Faktor

Der kritische Faktor bei Updates ist der extreme Konkurrenzdruck, Systeme billiger und schneller auf den Markt zu bringen. Durch die universelle Updatefähigkeit aller informatisierten Systeme sind diese bei der Auslieferung nicht nur sicherheitstechnisch unausgereift und fehlerbehaftet. Daher ist ein Verzicht auf Updates nicht, und ein Updatezyklus auf Jahresbasis oder länger nur noch in Nischen verantwortbar. Durch die stärkere Vernetzung unser physischen Infrastruktur betrifft daher die Updateproblematik immer mehr Lebensbereiche weit ab der klassischen IT. In letzter Instanz ist ein Verzicht auf Updates als Fahrlässigkeit zu werten und bei Systemen, die aus welchen Gründen auch immer keine Möglichkeit zur Aktualisierung bieten, ist die vorzeitige Ausserbetriebnahme aus Sicherheitsgründen trotz vollumfänglicher Funktionalität die einzige nachhaltige Massnahme.

---

Blogpost wurde erstelle von Patrick Gerber (CSI Consulting AG) im Rahmen vom CAS Information Security & Risk Management. Dozenten in diesem sehr praxisorientierten Lehrgang sind: Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG) Rainer Kessler (Governance Concept GmbH), Andreas Wisler (goSecurity GmbH) Beim nächsten CAS live dabei sein? Hier der Link zur Ausschreibung CAS Information Security & Risk Management Persönliche Beratung für den Lehrgang gewünscht? Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.