M 4.107 Nutzung von Hersteller-Ressourcen
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator
Alle Hersteller von IT-Systemen oder IT-Komponenten bieten diverse Unterstützungs- und Informationsangebote für die Anwender ihrer Produkte. Dazu gehören beispielsweise Hilfestellungen zur Problembehebung (Support, Hotline, Updates, Patches, etc.) und Informationsmöglichkeiten über Sicherheitslösungen (WWW-Seiten, Newsgroups, Mailinglisten, etc.). Einige dieser Angebote sind kostenfrei, andere nicht.
Bereits bei der Beschaffung von IT-Systemen oder -Produkten sollte überlegt werden, welche Unterstützungsangebote der Hersteller in Anspruch genommen werden sollen, insbesondere wenn dies laufende Kosten verursacht.
Es sollte sichergestellt sein, dass für alle eingesetzten IT-Systeme und -Produkte regelmäßig überprüft wird, ob neue Informationen über Sicherheitsprobleme und Lösungsmöglichkeiten seitens der Hersteller vorhanden sind. Dies ist besonders bei allen Server-Betriebssystemen wichtig, da eine Sicherheitslücke auf einem Server wesentlich mehr Schäden verursachen kann als eine, die nur ein einzelnes IT-System betrifft.
Sicherheitsspezifische Updates sollten, wenn sie nicht direkt vom Hersteller auf CD-ROM geliefert werden, nur von vertrauenswürdigen Stellen bezogen werden, z. B. von CERTs (siehe auch M 2.35 Informationsbeschaffung über Sicherheitslücken des Systems). Die Updates sind auf Unversehrtheit mittels kryptographischer Methoden (beispielsweise SHA-1, RIPEMD-160, GnuPG) zu überprüfen, soweit die Dateien entsprechend verschlüsselt bzw. signiert angeboten werden.
Damit jederzeit auf sicherheitsrelevante Hinweise der Hersteller zugegriffen werden kann, sollte für alle eingesetzten Betriebssysteme und alle wichtigen IT-Produkte eine Übersicht geführt werden. Aus dieser sollte hervorgehen, unter welchen WWW-Adressen sicherheitsspezifische Updates und Patches bzw. Informationen der Hersteller gefunden werden können. Die Adressen sind in der Produktdokumentation zu finden. Sehr oft wird auf der WWW-Seite des Herstellers direkt auf diese Informationen verwiesen. Leider verändern sich Links erfahrungsgemäß häufig, so dass es wichtig ist, diese regelmäßig auf ihre Korrektheit zu überprüfen und, wenn es erforderlich ist, zu aktualisieren.
Ergänzende Kontrollfragen:
- Woher werden Hersteller-Patches bezogen?
- Wie ist sichergestellt, dass immer die Informationen über die aktuellsten Patches vorliegen?
- Wie wird der Patch-Level-Stand der Systeme verifiziert?
- Wird die Integrität der Patches kryptographisch verifiziert?