Worum geht es?
Im Grunde geht es um eine Binsenweisheit: IT-Geräte und auch Software müssen im Laufe der Zeit gewartet und teils auch repariert werden. Was dann an den täglich aktiv genutzten Endgeräten zumindest oberflächlich meist noch recht gut funktioniert, wird allerdings bei anderen Komponenten vergessen. Betriebssystem-Updates werden Benutzern zwar mittlerweile regelmäßig aufgedrängt, aber schon bei zusätzlich installierter Software ist dies keinesfalls mehr zwingend. Und IT-Komponenten, die in einer eher dunklen Ecke automatisch ihren Dienst verrichten und sich nicht für automatische Updates eignen, erhalten oft nicht zuverlässig notwendige Updates.
Neben der unterbleibenden Wartung droht aber auch Gefahr durch nicht fachkundige Fehlerbehebungsversuche.
Was empfiehlt die ISO 27002?
Die erfreulich klaren und eigentlich einfachen Empfehlungen in Kapitel 7.13 der Norm lauten zusammengefasst:
- Geräte und Betriebsmittel sollten gemäß eines auch überwachten Instandhaltungsplans regelmäßig gewartet werden, unter Beachtung der Herstellerempfehlungen und gegebenenfalls auch von Versicherungsbedingungen. Häufige Hürde in der Praxis ist, dass es bereits an einer brauchbaren Auflistung der Geräte und Betriebsmittel fehlt und dann auch oft die geeignete Herstellerdokumentation fehlt. Dies trifft gerade für Bestandteile der Infrastruktur zu, die nicht bewusst im täglichen Gebrauch sind und bei denen zudem die Kosten der Wartung gescheut werden: beispielsweise Klimaanlagen, Notstromversorgung, Alarmanlagen und Brandbekämpfung.
- Alle Arbeiten dürfen nur von befugten Personen durchgeführt werden, die hierzu auch die notwendige Fachkunde besitzen. Praktisch häufiges Problem ist, dass unbefugte Personen oft nicht wirksam daran gehindert werden, an ihnen zugänglichen Endgeräten herumzuprobieren. Dass dies oftmals in guter Absicht geschieht, ändert nichts am gelegentlich fatalen Ergebnis.
- Muss externes Personal eingesetzt werden, muss diesen in geeigneter Form die Tätigkeit vor Ort oder von Remote aus ermöglicht werden. Neben einem möglichst restriktiven und kontrollierten Zugang sollte auch eine strikte Vereinbarung zur Vertraulichkeit selbstverständlich sein.
- Je nachdem müssen Geräte zur Reparatur auch außer Haus verbracht werden und es ist notwendig, den hiermit verbundenen zusätzlichen Gefahren zu begegnen – auch und gerade, wenn diese Geräte innerhalb der eigenen Umgebung wieder in Betrieb genommen werden sollen.
- Alle Arbeiten sollten dokumentiert werden, wofür praktisch oft die Zeit fehlt.
Fazit
Was die ISO 27002 hier empfiehlt, ist auch ohne verschärfte Überlegungen selbsterklärend und sollte eigentlich selbstverständlich sein. In der Praxis scheitert eine saubere Umsetzung häufig an der betriebenen Mängelverwaltung. Aktiv vorzunehmende Wartungsarbeiten erfolgen nur dann, wenn sich ein Nutzer beschwert oder sich sonst bereits eine Störung zeigt. Ansonsten erfolgt weder eine regelmäßige Wartung noch eine anlassbezogene. Erschreckend häufig sind selbst kritische Hinweise der Hersteller auf zu schließende Sicherheitslücken nicht rechtzeitig bekannt.
Dass aber gerade die Vernachlässigung zentraler IT-Komponenten dramatische Folgen haben können, wenn sie erfolgreich angegriffen werden oder plötzlich ausfallen, sollte ohne weiteres nachvollziehbar sein. Je nachdem ist die Organisation dadurch unmittelbar handlungsunfähig und ob sich die entstandenen Schäden wiedergutmachen lassen, ist äußerst fraglich. Auch wenn sich Versicherungen gegen Cyberschäden sicherlich immer besser verkaufen lassen, ist noch keinesfalls gesagt, dass diese auch einspringen, wenn der Organisation ursächliche Nachlässigkeiten angelastet werden, die den Schadenseintritt begünstigt oder ermöglicht haben.