Die DSGVO setzt den Stand der Technik als Maßstab für die Sicherheit an. Aber die einzusetzende Technik als Stand der Technik ist nicht für alle gleich. Hier wird entsprechend differenziert, denn es gilt ein anderer Stand der Technik für zum Beispiel einen Krankenversicherer im Vergleich zu einem kleinen Floristen mit nur einem klassischen Ladengeschäft. Unabhängig von der Branche ist aber das Patchmanagement für alle mehr oder weniger gleich und somit auch bindend.
Das Thema Patchmanagement war schon öfters hier im Blog vertreten, neu in diesem Beitrag ist die für alle in Europa bindende DSGVO. Unabhängig der Branchen entspricht dem Stand der Technik ein jeweils aktuelles System, welches mit den zur Verfügung stehenden Updates aktuell gehalten werden muss. Hierbei darf nicht nur auf das Betriebssystem geachtet werden, denn gerade Drittsoftware auf einem System stellt ein nicht unerhebliches Risiko dar, wenn hier nicht auch regelmäßig Patches installiert werden. Systeme, die auf einem aktuellen Stand sind, haben um ein ca. 85% geringeres Risiko kompromittiert zu werden. Dies spiegelt sich auch bei den empfohlenen Maßnahmen von Sicherheitsexperten wider, auf Platz Eins ist das Patchen des Systems und der Applikationen zu finden. Erst viel später in der Liste der Maßnahmen kommt Schutzsoftware wie ein Antiviren Software vor. Daher ist ein Patchmanagement unabdingbar und alternativlos. Nicht zu vergessen ist, dass in dieses Patchmanagement auch der Webauftritt gehört und hier ebenfalls die Applikation in Form von WordPress, Drupal, Joomla & Co.
Im Hinblick auf die DSGVO muss auch berücksichtigt werden, dass aktuell Patchzyklen von 30-90 Tagen oder gar mehr als fahrlässig betrachtet werden, da bekannte Sicherheitslücken schon nach wegen Stunden nach ihrem Bekanntwerden ausgenutzt werden. Da nicht jede Sicherheitslücke den gleichen Schweregrad besitzt wird in den meisten Fällen der CVSS Wert herangezogen. Dieser bewertet die Sicherheitslücken auf einer Skala von 0-10 und ab der Version 3 kommen noch Bewertungen wie, None, Low, Medium, High und Critical hinzu. Als Empfehlung sind Sicherheitslücken ab CVSS Wert 7 bis 9 bzw. der Einstufung als High innerhalb von 72 Stunden zu schließen und alle darüber innerhalb von 24 Stunden.
Bei einem geeigneten Patchmanagement sind diese Fristen nicht zu kurz, sondern als angemessen zu sehen. Vor allem auch deshalb, dass bekannte Schwachstellen in kurzer Zeit und vor allem flächendeckend durch die große Anzahl der Bots in den Botnetzwerken ausgenutzt werden. Durch diese großen Botnetze gerät der Einzelne viel schneller in das Visier eines Angriffs und das System ist kompromittiert. Umso wichtiger ist es also die zur Verfügung stehenden Patches sehr zeitnah zu installieren und die Systeme bzw. Anwendungen gegen die entsprechenden Angriffe zu schützen. Dabei ist es vor allem Wichtig von Anfang an die Systeme so zu installieren, dass diese wartbar bleiben und dies auch sehr standardisiert durchgeführt werden kann. Je individueller ein System ist, so komplexer ist dessen Wartung. Wer von Anfang an die passenden Strategien einschlägt, hat es in Zukunft leichter seine Systeme aktuell zu halten. Zwar galt dies schon immer, aber durch die DSGVO die seit gut 100 Tagen in Kraft getreten ist, sollte man sich dies noch mal in das Bewusstsein rufen und ein passenden Patchmanagement auf die Beine stellen.