Software End of Life
In diesem Post beschreiben wir eine Situation im Audit oder in der Beratung vorgefunden haben.
Der Sachverhalt wurde leicht angepasst, anonymisiert und aus mehreren Blickpunkten beleuchtet.
Situation: Bei einer umfassenden Risikoanalyse wurden die Softwareversionen aller Applikationen im Asset-Management überprüft. Dabei ist aufgefallen, dass viele der Applikationen ein deutlich überschrittenes End of Life Datum aufweisen.
Diese Applikationen wurden von einem externen Dienstleister betreut. Nach Aussage des Dienstleisters werden nicht vollumfänglich Log-Dateien geschrieben, diese nicht ausgewertet und nicht alle Komponenten der Applikationen sind im Backup.
Im Vertrag steht, dass die Applikationen nach dem Stand der Technik und DSGVO konform betrieben werden sollen.
Risiken: Es besteht das Risiko, dass aufgrund der Überschreitung des End of Life Datum der Applikationen Schwachstellen nicht mehr geschlossen werden können. Darüber hinaus besteht das Risiko, dass Schwachstellen schon ausgenutzt wurden.
Es besteht das Risiko, dass ohne ein Schreiben von Logdateien auf allen Ebenen der Applikationen und ein konsequentes Auswerten, Schwachstellen und Angriffe erkannt werden.
Es besteht das Risiko, dass ohne ein Backup aller Komponenten der Applikationen ein Wiederanlauf im Notfall nicht zum Erfolg führt.
Abweichungen: Die Assets haben einen überschrittenes End of Life. Die Vielzahl der Sicherheitslücken sind nicht erfasst und behoben. (ISO 27001:2022 A.5.7, A.8.8, A.5.10)
Das Backup beim Dienstleister konnte nicht vollständig nachgewiesen werden. Ein Backup Restore wird nicht vollständig durchgeführt.
(ISO 27001:2022 A.8.13, A 5.30)
Die Vorgaben zum Schreiben von Logdaten werden beim Dienstleister nicht eingehalten, eine Auswertung findet nicht statt.
(ISO 27001:2022 A.8.15)
Die Steuerung der Lieferanten wird nicht vollständig umgesetzt. Die Vorgaben an die Lieferanten müssen enger gezogen und überwacht werden. Die Lieferanten müssen hinsichtlich ihrer Leistung bewertet werden.
(ISO 27001:2022 A.5.19, A.5.20, A,5.21)
Lösungen: Die Risiken müssen zwingend geschlossen werden.
Dies bedeutet, die Verträge mit dem Dienstleister müssen überprüft und auf die Anforderungen an das ISMS angeglichen werden. (NDA, AVV, Verpflichtung zur Einhaltung des ISMS)
Der Dienstleister muss die Applikationen auf den aktuellen Stand bringen, Backups durchführen, wiederherstellen, Log-Dateien schreiben und auswerten.
Wir bieten für die folgenden Managementsysteme Dienstleistungen im Bereich der Beratung und Auditierung an.
Informationssicherheit: → ISO 27001
Compliance.Management: → ISO 37301
Datenschutz: → DSGVO, ISO 27701
Business Continuity Management: → ISO 22301
Unser Partner ↗ IT-Richtlinien.de bietet Vorlagen für Managementsysteme an.
Diese Vorlagen sind geeignet für die Zertifizierung.