Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 4.107 Nutzung von Hersteller-Ressourcen - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 4.107 Nutzung von Hersteller-Ressourcen

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Administrator

Alle Hersteller von IT-Systemen oder IT-Komponenten bieten diverse Unterstützungs- und Informationsangebote für die Anwender ihrer Produkte. Dazu gehören beispielsweise Hilfestellungen zur Problembehebung (Support, Hotline, Updates, Patches, etc.) und Informationsmöglichkeiten über Sicherheitslösungen (WWW-Seiten, Newsgroups, Mailinglisten, etc.). Einige dieser Angebote sind kostenfrei, andere nicht.

Bereits bei der Beschaffung von IT-Systemen oder -Produkten sollte überlegt werden, welche Unterstützungsangebote der Hersteller in Anspruch genommen werden sollen, insbesondere wenn dies laufende Kosten verursacht.

Es sollte sichergestellt sein, dass für alle eingesetzten IT-Systeme und -Produkte regelmäßig überprüft wird, ob neue Informationen über Sicherheitsprobleme und Lösungsmöglichkeiten seitens der Hersteller vorhanden sind. Dies ist besonders bei allen Server-Betriebssystemen wichtig, da eine Sicherheitslücke auf einem Server wesentlich mehr Schäden verursachen kann als eine, die nur ein einzelnes IT-System betrifft.

Sicherheitsspezifische Updates sollten, wenn sie nicht direkt vom Hersteller auf CD-ROM geliefert werden, nur von vertrauenswürdigen Stellen bezogen werden, z. B. von CERTs (siehe auch M 2.35 Informationsbeschaffung über Sicherheitslücken des Systems). Die Updates sind auf Unversehrtheit mittels kryptographischer Methoden (beispielsweise SHA-1, RIPEMD-160, GnuPG) zu überprüfen, soweit die Dateien entsprechend verschlüsselt bzw. signiert angeboten werden.

Damit jederzeit auf sicherheitsrelevante Hinweise der Hersteller zugegriffen werden kann, sollte für alle eingesetzten Betriebssysteme und alle wichtigen IT-Produkte eine Übersicht geführt werden. Aus dieser sollte hervorgehen, unter welchen WWW-Adressen sicherheitsspezifische Updates und Patches bzw. Informationen der Hersteller gefunden werden können. Die Adressen sind in der Produktdokumentation zu finden. Sehr oft wird auf der WWW-Seite des Herstellers direkt auf diese Informationen verwiesen. Leider verändern sich Links erfahrungsgemäß häufig, so dass es wichtig ist, diese regelmäßig auf ihre Korrektheit zu überprüfen und, wenn es erforderlich ist, zu aktualisieren.

Ergänzende Kontrollfragen: