BaFin zum Patch-Management bei Standard Software

Unter Bezugnahme auf den letzten Microsoft-Patch-Day hat die BaFin mit Schreiben vom 28.11.2014 die Verbände der Investmentbranche adressiert und auf Sicherheitslücken in Softwareprodukten hingewiesen, die in zunehmendem Maße durch Cyber-Kriminelle ausgenutzt werden.

Die BaFin weist in dem Schreiben nachdrücklich darauf hin, dass Kapitalverwaltungsgesellschaften, die Standard-Software nutzen, bzw. ihnen von IT-Dienstleistern gemäß Ziffer 9 InvMaRisk zur Verfügung gestellt wird, über ein Patch-Management im Sinne des § 28 KAGB i.V.m. Ziffer 7.2.3 InvMaRisk verfügen müssen. Dadurch sei insbesondere sicherzustellen, dass Patches hinreichend zeitnah und sicher in den Betrieb überführt werden.

Gemäß Ziffer 5 InvMaRisk umfassen die Anforderungen an das Patch-Management auch eine entsprechende Dokumentation. Zudem ist erforderlich, dass hierfür der notwendige Regelprozess des Testens, der Freigabe und der Implementierung in die Produktionsprozesse etabliert wird.

Die BaFin weist schließlich ausdrücklich darauf hin, dass für sämtliche Standard-Software, die bei Kapitalverwaltungsgesellschaften genutzt wird oder die den Kapitalverwaltungsgesellschaften als Service zur Verfügung gestellt wird, Patch-Managementprozesse zu implementieren und umzusetzen sind. Hierbei seien die IT-Sicherheitsbeauftragten der Kapitalverwaltungsgesellschaften aktiv einzubinden und die notwendigen IT-Revisionsprüfungen durchzuführen.

 

Kontakt