});

Security Change Management

Jede Änderung der Netzwerk- und Softwareeinstellungen muss geprüft werden

In der sich immer und besonders schnell ändernden Welt der IT (Sicherheit) ist Change etwas, das fast zum Alltag gehört. Einerseits entwickelt sich die IT-Branche sowieso rasant und die Netzwerke müssen immer wieder neu angepasst werden, damit sie den höheren Anforderungen der Umwelt entsprechen können. Andererseits entstehen fast jeden Tag neue Viren und andere Gefahren und dementsprechend werden auch die nötigen Releases und Patches erstellt und verbreitet. Die Beobachtung der Änderungen, ihre Durchführung, Dokumentation usw. fallen unter den Begriff des Security Change Managements.

Um mit der Entwicklungsgeschwindigkeit aller Änderungen Schritt halten zu können fallen eine Vielzahl Anpassungen pro Tag an, selbst in mittleren und kleinen Unternehmen. Neue Regelungen für neue Nutzer, von neuen Servern, von Patches und Aktualisierungen von Web-Anwendungen gibt es fast immer täglich. In einer schlecht oder gar unkontrollierten Umgebung können solche normalen Änderungen dazu führen, dass Daten plötzlich frei zugänglich sind oder das System offen für Angreifer ist.

Einige Maßnahmen die dabei helfen, sicher zu bleiben und dabei die Richtlinien zu befolgen:

  • Erfassen und protokollieren Sie jede Änderung der Sicherheitsregeln in Echtzeit
  • Führen Sie Aufzeichnungen darüber mit fest definierten Verantwortlichkeiten
  • Bewerten Sie jede Änderung
  • Stellen Sie Alarmstufen ein
  • Bewerten und analysieren Sie Risiken vor deren Implementierung
  • Automatisieren Sie den gesamten Arbeitsablauf, um die Unternehmensrichtlinien durchzusetzen
  • Führen Sie zu allen Anwendungsschnittstellen einen Lebenszyklus
  • Manifestieren Sie Ihre Richtlinien mit Sicherheitsstandards

 

Wenn Sie das Rad nicht neu erfinden möchten, bieten sich diverse Methoden an, welche Sie für die Einführung eines Change Management bei Ihnen im Unternehmen verwenden können. Der Klassiker dabei ist sicher das Change Management nach ITIL (Information Technology Infrastructure Library) welches im Buch Service Transition das Change-Management als Prozess definiert und detailliert beschreibt.

Insbesondere bei kleinen und mittleren Unternehmen ist die Einführung von ITIL aber eher “mit Kanonen auf Spatzen” schießen, weshalb sich etliche Beratungsunternehmen und Unternehmensberater im Markt finden, die ein Best Practice Verfahren entwickelt haben. Am besten sind Sie damit beraten einen Unternehmensberater zu konsultieren, welcher seine Best Practice Empfehlungen aus dutzenden Projekten entwickelt hat und auf einen entsprechend großen und tief gehenden Erfahrungsschatz zurückgreifen kann.

Sinnvoll ist es allemal einen Prozess zu definieren und zu beschreiben welcher sich mit diesen Vorgang im Bereich der IT-Sicherheit auseinander setzt. Nicht verwaltete und dokumentierte Konfigurationsänderungen Ihres Netzwerks und Rechenzentrums bergen hohe Risiken. Es ist wesentlich, dabei einen Change Management Plan einzuführen und diesem zu folgen.

Neben dem nicht vorhandenen Plan beim Change Management gibt es auch noch einige weitere große Herausforderungen, die im Weg stehen: Fehlende Koordination zwischen den verschiedenen Teams, so dass keiner sich verantwortlich fühlt und keiner genau weiß welche Änderungen schon gemacht worden sind, welche müssen noch gemacht werden und welche stehen überhaupt zur Verfügung. Ein anderes Problem stellt eine gewisse Einstellung dar, die besagt, dass ein funktionierendes System nicht umgestellt werden muss. Dabei wird jedoch offensichtlich vergessen, dass „funktionierend“ nicht mit gut, effektiv, richtig funktionierend gleich zu setzen ist. Denn ein funktionierendes System kann trotzdem grobe Fehler aufweisen und große Sicherheitslücken in sich haben, die wiederum für das ganze Unternehmen gefährlich sind. Die Komplexität der heutigen Netzwerke muss hier auch auf jeden Fall erwähnt werden. Denn von einem Tag auf den anderen werden die Systeme immer komplizierter und der Aufwand, der mit deren Wartung verbunden ist, wächst dementsprechend mit.