Update ist Verzweifelung keine IT Sicherheit

Keine Frage Updates sind wichtig, aber nur das * vom Lehrer wenn man alle anderen Hausaufgaben gemacht hat.

Den eine IT muss Fehlertolerant sein, sprich ein Fehler in einer Software, OS oder auch in der CPU muss mitigierbar sein.

Wenn meine IT Security auf den Patchstand der Software basiert - tja dann hat man verloren.

Was ist ein gepatchtes System:
n= bekannte Vulnerabilities
p= Vulnerabilities die gepatcht werden können
u= unbekannte Vulnerabilities
np= nicht behebbare Vulnerabilies (kein patch verfügbar, unpatchbares system etc.)

Formel: n+u+np-p = ich habe eigentlich keine Ahnung wie Sicher meine IT ist.

Wenn aber mein Netzwerk so gut gegen zugriff von Außen geschützt ist (Segmentierte Netzwerke, Physikalisch separierte Netzwerke wo man nur per BridgeRechner rankommt) evtl. Whitelisting tools die nur bekannte Software erlauben (malware hat dann keine Chance) usw...

Setzt man dann noch konsequent Verschlüsselung oder Tokenisierung ein wird das System erst wirklich robust.

Und genau so definiert man IT Sicherheit. Man geht einfach davon aus das man Angreifbar ist. Und sorgt für möglichst kleine Angriffsflächen die nicht in andere Segmente ausstrahlen können.

Patching - und das wiederhole ich gerne auch das 1000. mal ist wichtig. Darf aber niemals alleiniges Sicherheitsmerkmal sein. Und genau das ist es heute bei >90% der Unternehmen. Es gibt keine 2. Stufige Firewall (eine Backdoor und aus ist's), kaum Netzwerksegmentierung und kaum Verschlüsselung.

Gruß ddd