Software aktuell halten

Toolmaker-Kunden betreiben geschäftskritische Anwendungen nicht ohne Grund auf einem IBM i System: Sie sind in der Regel davon abhängig sind, und die Verfügbarkeit der Anwendungen darf deshalb nicht kompromittiert werden. Aus diesem Grund wurden in den einschlägigen Sicherheitsstandards (BSI, ISO 2700x-Reihe, ISIS12) die Beschaffung, die Entwicklung und die Wartung von Informationssystemen berücksichtigt und entsprechende Handlungsempfehlungen hinterlegt.

Geht man davon aus, dass die Sicherheit des IT-Betriebs durch entsprechende Maßnahmen abgesichert wurden (z.B. Virenschutz, Backup, Notstrom, Redundanzen usw.), werden die Systeme i.d.R. nur durch Veränderungen instabil. Das verlangt demzufolge ein angemessenes IT-Service-Management. Damit sind wir dann auch beim entscheidenden Punkt:

  • Implementierung von Genehmigungsverfahren für informationsverarbeitende Einrichtungen
  • Identifizierung von Risiken in den Anwendungen
  • Identifizierung von Risiken im Zusammenhang mit externen Zugängen/Zugriffen
  • Instandhaltung von Gerätschaften
  • Dokumentierte Betriebsprozesse
  • Änderungsverwaltung
    -  Identifikation und Aufzeichnung signifikanter Änderungen
    -  Planung und Tests von Änderungen
     - Formeller Genehmigungsprozess für Änderungsvorschläge
     - Einbeziehung aller relevanten Personen über die Details der Änderung
     - Rücksetzverfahren inkl. Vorgehensweisen und Verantwortlichkeiten
  • Besondere Sorgfalt gegen das Einschleusen von Schadsoftware auch bei Wartungsarbeiten und Notfällen
  • Schutz der Diagnose- und Konfigurationsports

Die Kontrolle von Software im Betrieb ist darüber hinaus in der ISO/IEC 2700x-Reihe explizit geregelt und beinhaltet u.a. folgende Forderungen:

  • Die Aktualisierung der Betriebssoftware, Anwendungen und Programmbibliotheken sollte nur durch einen ausgebildeten Administrator mit entsprechender Berechtigung durch das Management erfolgen
  • Ein System zur Konfigurationsverwaltung sollte zur Kontrolle der implementierten Software als auch der Systemdokumentation genutzt werden
  • Eine Rollback-Strategie sollte aufgesetzt sein, bevor Änderungen durchgeführt werden
  • Eine detaillierte Protokollierung (Log) sollte für alle Aktualisierungen von Betriebsprogrammbibliotheken geführt werden
  • Frühere Versionen der Anwendungssoftware sollten als Notfallmaßnahme verwahrt werden (im TIM die OLD-Bibliotheken)

Eingekaufte Software, die in betriebenen Systemen eingesetzt wird, sollte in dem vom Lieferanten unterstützten Maß gewartet werden. Nach einer bestimmten Zeit stellen Softwarehersteller die Unterstützung für ältere Versionen ihrer Software ein. Die Organisation sollte die Risiken einkalkulieren, die entstehen, wenn man auf nicht mehr unterstützte Software angewiesen ist.

Ein Verfahren zur Software-Aktualisierung sollte umgesetzt werden, um sicherzustellen, dass die aktuellsten freigegebenen Patches und Anwendungsaktualisierungen für die gesamte freigegebene Software installiert werden. Software-Patches sollten dann eingespielt werden, wenn sie dabei helfen Sicherheitsschwachstellen zu entfernen oder zu reduzieren.

 

Was spricht gegen regelmäßige Software-Aktualisierungen?

Das Aktualisieren eines Systems mit der neuesten Version einer Anwendung oder Betriebssystems ist nicht immer im Geschäftsinteresse, da dies mehr Schwachstellen und Instabilität mit sich bringen kann. Zudem kann ein Bedarf an zusätzlichem Training, Lizenzkosten, Support, Wartung, administrativem Aufwand und neuer Hardware, besonders während der Migration, entstehen.

Toolmaker hat für die automatisierte Software-Aktualisierung ein Tool namens TIM entwickelt, welches alle fett markierten Aspekte automatisch berücksichtigt.

  1. TIM ist in der Lage, die Installation einer Installation einer Software oder neuen Version unbeaufsichtigt und ohne menschliche Eingriffe während der Betriebspause (nachts) durchzuführen.
  2. Vor der Installation einer neuen Software-Version prüft TIM, ob die Voraussetzungen auf der LPAR erfüllt sind.
  3. Falls während der Installation einer neuen Software-Version trotzdem ein Problem auftritt, bricht TIM die Installation ab und stellt die vorhergehende Version in dem (benutzbaren) Zustand her, in dem sie vor Installationsbeginn war, damit am Folgetag ohne Einschränkungen weiter gearbeitet werden kann.
  4. TIM beherrscht das Aktualisieren von Software auf einer IBM i besser als ein Administrator.

 

Detaillierte Hinweise zur Nutzung und Bedienung von TIM finden Sie hier.

TIM können Sie hier herunterladen.

 

 

 

Wichtige Informationen zum System- und Release-Wechsel

Hier finden Sie alles, was Sie zum System- und System- und Release-Wechsel wissen müssen.