Eine wissenschaftliche Abteilung führt eine statistische Analyse über einen großen Datenbestand durch. Die eingesetzte Software ist für das verwendete Datenbanksystem formal freigegeben, läuft auch scheinbar fehlerfrei. Erst Wochen später zeigt eine Stichprobe: Sämtliche Ergebnisse sind falsch. Die Ursache — ein stilles Kompatibilitätsproblem zwischen Anwendung und Datenbankversion.
Fehlfunktionen gehören zu den heimtückischsten IT-Bedrohungen, weil sie oft ohne sichtbare Fehlermeldung auftreten. Das BSI führt sie als elementare Gefährdung G 0.26 und betont: Alle drei Schutzziele — Vertraulichkeit, Integrität und Verfügbarkeit — können betroffen sein.
Was steckt dahinter?
Moderne IT-Systeme sind komplex — und mit der Komplexität steigt die Zahl potenzieller Fehlerquellen. Fehlfunktionen entstehen, wenn Hardware oder Software nicht wie vorgesehen arbeiten, das System aber weiterhin betriebsbereit erscheint. Das unterscheidet sie vom Totalausfall (G 0.25), der sofort auffällt.
Fehlerursachen
- Materialermüdung und Verschleiß — Mechanische Komponenten wie Lüfter, Festplatten und Steckverbinder degradieren über die Zeit. Sporadische Fehler kündigen den endgültigen Ausfall oft Wochen im Voraus an.
- Konzeptionelle Schwächen — Fehlende Fehlerbehandlung in der Software, unzureichende Eingabevalidierung oder fehlerhafte Algorithmen führen zu falschen Ergebnissen.
- Grenzwertüberschreitung — Wenn ein System unter Last-Bedingungen betrieben wird, für die es nicht ausgelegt ist (zu viele gleichzeitige Benutzer, zu hohe Temperaturen), treten intermittierende Fehler auf.
- Inkompatibilitäten — Nicht freigegebene Kombinationen von Betriebssystem, Treiber und Anwendung erzeugen subtile Fehler, die sich in Stichproben, aber selten in oberflächlichen Tests zeigen.
- Fehlende Wartung — Verstopfte Lüftungsgitter, veraltete Firmware, nicht kalibrierte Sensoren.
Schadensausmass
Das eigentliche Risiko liegt in der Dauer bis zur Entdeckung. Eine fehlerhafte Berechnung, die monatelang unbemerkt bleibt, kann Geschäftsentscheidungen auf falschen Grundlagen basieren lassen. Kompromittierte Integrität von Datenbanken erfordert aufwändige Forensik, um den Zeitpunkt der ersten Verfälschung zu bestimmen und alle betroffenen Datensätze zu identifizieren. Vertraulichkeit ist betroffen, wenn Fehlfunktionen dazu führen, dass Zugriffskontrollen nicht greifen.
Praxisbeispiele
Überhitztes Speichersystem. Ein Speicher-Array in einem Serverraum hat ein verstopftes Lüftungsgitter. Es fällt nicht komplett aus, sondern zeigt sporadische Schreibfehler. Erst nach mehreren Wochen bemerkt ein Administrator, dass gespeicherte Dateien unvollständig sind. Die Rekonstruktion der betroffenen Datenbestände dauert Wochen.
Inkompatible Analysesoftware. Eine Fachabteilung setzt eine statistische Software ein, die für das verwendete Datenbanksystem laut Herstellerdokumentation nicht freigegeben ist. Die Analyse scheint zu funktionieren, liefert aber systematisch falsche Werte. Die fehlerhaften Ergebnisse fließen in einen Quartalsbericht ein, bevor der Fehler durch eine Stichprobe auffällt.
Netzwerk-Switch mit defektem Port. Ein einzelner Port an einem Netzwerk-Switch überträgt Pakete mit sporadischen Bitfehlern. Die betroffene Arbeitsstation erlebt gelegentliche Verbindungsabbrüche und beschädigte Dateitransfers. Da die Fehler intermittierend auftreten, dauert die Fehlersuche Wochen, bis der defekte Port identifiziert ist.
Relevante Kontrollen
Die folgenden ISO-27001-Kontrollen wirken dieser Gefährdung entgegen. (Die vollständige Liste der 33 zugeordneten Kontrollen findest du unten im Abschnitt „Abdeckende ISO-27001-Kontrollen”.)
Prävention:
- A.8.8 — Management technischer Schwachstellen: Regelmäßige Firmware-Updates und Patches beheben bekannte Fehler, die Fehlfunktionen verursachen.
- A.7.13 — Instandhaltung von Geräten: Geplante Wartungszyklen erkennen Verschleiß, bevor er zu Fehlfunktionen führt.
- A.8.19 — Installation von Software: Kontrollierte Software-Freigabe verhindert inkompatible Konfigurationen.
- A.8.29 — Sicherheitstests in Entwicklung und Abnahme: Tests vor dem Produktivbetrieb decken Inkompatibilitäten und Fehlverhalten auf.
Erkennung:
- A.8.15 — Protokollierung: Zentrales Logging erfasst Fehlermeldungen, Warnungen und Auffälligkeiten.
- A.8.16 — Überwachungsaktivitäten: Monitoring erkennt Leistungseinbrüche, erhöhte Fehlerraten und Abweichungen vom Normalverhalten.
- A.5.34 — Datenschutz und Schutz personenbezogener Daten: Integritätsprüfungen schützen vor unbemerkter Datenverfälschung.
Reaktion:
- A.5.24 — Planung der Informationssicherheitsvorfallreaktion: Dokumentierte Verfahren für den Umgang mit erkannten Fehlfunktionen.
- A.8.14 — Redundanz von informationsverarbeitenden Einrichtungen: Redundante Systeme können übernehmen, während das fehlerhafte System repariert wird.
BSI IT-Grundschutz
G 0.26 verknüpft der BSI-Grundschutzkatalog mit den folgenden Bausteinen:
- OPS.1.1.6 (Software-Tests und -Freigaben) — Anforderungen an Tests und Abnahme vor dem Produktiveinsatz.
- SYS.1.1 (Allgemeiner Server) — Grundlegende Absicherung und Wartungsanforderungen.
- INF.2 (Rechenzentrum sowie Serverraum) — Physische Schutzmaßnahmen gegen umgebungsbedingte Fehlfunktionen.
- OPS.1.1.7 (Systemmanagement) — Überwachung und proaktives Management von Systemzuständen.
Quellen
- BSI: Die Lage der IT-Sicherheit in Deutschland — Jahreslagebericht mit aktuellen Statistiken zu IT-Störungen
- BSI IT-Grundschutz: Elementare Gefährdungen, G 0.26 — Originalbeschreibung der elementaren Gefährdung
- ISO/IEC 27002:2022 Abschnitt 7.13 — Umsetzungshinweise zur Instandhaltung von Geräten