Zum Inhalt springen

Patch Exception Register

Patch Exception Register

Kontrollierte Verwaltung von Patch-Ausnahmen beim Provider mit dokumentierten Kompensationsmassnahmen und Risikoakzeptanz.

Hinweis: Diese Inhalte sind generische Umsetzungshilfen und ersetzen keine Rechtsberatung, keine aufsichtsrechtliche Auslegung, keine technische Sicherheitsprüfung und keine institutsspezifische Prüfung.

4

Aktive Ausnahmen

3

Kritische/Hohe Ausnahmen

17

Kompensationsmassnahmen

4

Active

Aufschiebung kritischer Patch aufgrund von Abhängigkeitskonflikten

critical PVG-EX-001 DORA Risk Score: 16.5
active

Asset: PRV-DB-001 (Kernbanken-Datenbank)

Grund: Patch verursacht Inkompatibilität mit kundenspezifischer Anpassung, vollständige Regressionstests erforderlich

Kompensationsmassnahmen

  • Netzwerksegmentierung der Datenbank auf isoliertes VLAN
  • WAF-Regel zur Blockade bekannter Exploit-Vektoren
  • Erhöhtes Monitoring (24×7) der Datenbankzugriffe
  • Intrusion-Detection-Signatur für CVE-spezifische Angriffsmuster aktiviert
  • Manuelle tägliche Prüfung der Zugriffslogs auf Anomalien
Owner: Provider Security Team + Institut SOC · Max. Dauer: 30 Tage · Genehmigt durch: CISO (nach Rücksprache mit IKT-Risikomanagement)

Patch-Studie für Legacy-Komponente erforderlich

high PVG-EX-002 DORA Risk Score: 12.3
active

Asset: PRV-SRV-001 (Legacy-Transaktionsserver)

Grund: Betriebssystemversion wird vom Hersteller nicht mehr supported, Migration auf neue Version in Planung

Kompensationsmassnahmen

  • Strikte Netzwerksegmentierung (nur noch Kommunikation mit autorisierten Systemen)
  • Application-Level-Whitelisting aktiviert
  • Erhöhtes Monitoring auf bekannte Angriffsmuster
  • Wöchentliches Vulnerability-Scanning des isolierten Segments
  • Beschleunigte Migration auf supported Version (Projekt mit definiertem Meilenstein)
Owner: Provider Infrastructure Team · Max. Dauer: 90 Tage · Genehmigt durch: CISO

Vendor-Abhängigkeit für Patch-Entwicklung

medium PVG-EX-003 DORA Risk Score: 8.1
active

Asset: PRV-APP-001 (Kundenportal Drittanbieter-Komponente)

Grund: Patch muss vom Softwarehersteller bereitgestellt werden, Veröffentlichung für Q3/2026 angekündigt

Kompensationsmassnahmen

  • WAF-Regel zur Blockade bekannter Exploit-Vektoren
  • Regelmässiger Austausch mit Hersteller zum Patch-Status
  • Manuelle Überprüfung der betroffenen Funktionalität
Owner: Provider Application Team · Max. Dauer: 120 Tage · Genehmigt durch: CISO

Betriebsnotwendige Ausnahme (kein Patch verfügbar)

high PVG-EX-004 DORA Risk Score: 11
active

Asset: PRV-NET-001 (Netzwerk-Firewall)

Grund: Hersteller hat End-of-Life angekündigt, kein Patch mehr verfügbar. Hardware-Austausch in Planung.

Kompensationsmassnahmen

  • Ersatzbeschaffung eingeleitet (Projekt mit Meilensteinplan)
  • Erhöhte Überwachung der Firewall-Logs
  • Regelmässige manuelle Konfigurationsprüfung
  • Segmentierung hinter weiterer Firewall-Ebene (Defence-in-Depth)
Owner: Provider Network Team + Institut IT Operations · Max. Dauer: 180 Tage · Genehmigt durch: CISO (mit Vorlage im Risikoausschuss)

Exception Management professionalisieren?

Vereinbaren Sie ein Pilotgespräch für das Patch Exception Register.

Pilotgespräch anfragen