Was IT-Dokumentationen mit IT-Sicherheit zu tun haben
20. Dezember 2021
Verfasst von Julia Schreiber
Bild: © Fotis Fotopoulos - Unsplash.com
Wenn die 20-Uhr-Nachrichten über Sicherheitslücken berichten, ist die Lage ernst – für gewöhnlich sind IT-Probleme eher ein Thema der Fachmedien. Zuvor hatte das BSI die Warnstufe rot, die höchste Bedrohungslage, für die Schwachstelle Log4Shell ausgerufen. Die IT-Sicherheitslage gilt als kritisch, die Sicherheitslücke betrifft die weit verbreitete Java-Bibliothek Log4J – und damit unzählige Applikationen und Produkte.
Aktuell beobachtete Cyberangriffe: Krypto-Miner, Bot-Netze, DDos- und Ransomware-Angriffe – die Palette an Angriffsformen ist groß und wird in den kommenden Monaten weiter anwachsen. Der Bundesfinanzhof zählt mutmaßlich zu den ersten prominenten Opfern. Die Gefahr besteht zudem, dass Log4Shell ausgenutzt wird, um Hintertüren in Systeme einzubauen und diese erst Monate später zu aktivieren.
Handlungsempfehlungen zu Log4Shell
Die Herausforderung für Unternehmen ist jetzt (!) zu klären, welche Softwareprodukte in der Organisation eingesetzt werden – und zwar von jedem einzelnen Anwender und jeder einzelnen Anwenderin. Egal ob Buchhaltung, Marketing oder Vertrieb: von Geschäftsführung bis Praktikanten gilt es alle genutzten IT-Lösungen zu erfassen. Der nächste Schritt ist zu prüfen, ob diese von der Sicherheitslücke betroffen sind und welche Handlungsempfehlungen es seitens der Hersteller gibt. Das BSI führt hierzu mit der niederländischen Partnerbehörde eine entsprechende Liste zum Verwundbarkeitsstatus zahlreicher IT-Produkte – doch für weniger verbreitete oder selbst programmierte Produkte ist „Klinkenputzen“ angesagt. Also: Website des Herstellers auf Empfehlungen prüfen oder direkt dort anfragen.
IT-Dokumentation als vorbeugende Maßnahme
Der beschriebene Prozess klingt (und ist) aufwändig, ist aber in den Grundzügen wichtiger Bestandteil jeder IT-Dokumentation. Unternehmen mit aktuellen Dokumentationen und Notfallplänen können somit bei Sicherheitslücken wie Log4Shell strukturierter und schneller handeln. Denn sie wissen:
- welche Anwendungen in welcher Abteilung im Einsatz sind
- welche Geschäftsprozesse – und damit verbundene Anwendungen – unternehmenskritisch sind bzw. welche Applikationen im Umkehrschluss aus Sicherheitsgründen kurzfristig abgeschaltet werden könnten
Idealerweise enthält eine IT-Dokumentation nicht nur die Information, welche Systeme in welcher Version im Einsatz sind, sondern auch, wer im operativen Betrieb dafür verantwortlich ist. Eine solche Bestandsaufnahme hilft bei Sicherheitslücken wie Log4Shell ebenso wie bei der Beseitigung anderer Notfälle und Störungen. Softwaregestützt erfolgt dieser Inventarisierungsprozess automatisiert. Natürlich schützt eine solche Dokumentation dann nicht gegen Sicherheitslücken, sie beschleunigt aber die Reaktion darauf. Was lässt sich also aus Log4Shell für die Zukunft lernen? Auch für IT-Prozesse gilt: Vorsorge ist besser als Nachsorge.
Sie sind unsicher, wie gut Sie im Bereich der IT-Infrastruktur aufgestellt sind? Unsere IT-Infrastrukturanalyse prüft Ihre IT-Umgebung sorgfältig auf mögliche Risiken und erstellt konkrete Handlungsempfehlungen für einen störungsfreien und performanten Betrieb. Fragen Sie gleich unverbindlich eine IT-Infrastrukturanalyse für Ihre Organisation an.
