Über unsMediaKontaktImpressum
Sergio Galindo 30. Juni 2015

Patch-Management: optimaler Schutz für PCs, Server und Netzwerke – 10-Punkte-Programm für mehr Sicherheit

Was haben 90 Prozent aller gehackten Computer gemeinsam? Sie waren leicht angreifbar, weil erforderliche Sicherheits-Patches fehlten. Cyber-Kriminelle – immer auf der Suche nach einem schnellen Weg zum Ziel – müssen noch nicht einmal sehr schlau sein, um Rechner erfolgreich zu kompromittieren. Insbesondere Systeme, die nur unzureichend mit Patches geschützt sind, machen es ihnen besonders einfach.

Dieses Sicherheitsproblem wird durch regelmäßige Patch-Veröffentlichungen sogar nur noch verschärft. Updates müssen inzwischen dringender denn je eingespielt werden – und häufiger – um zuverlässig geschützt zu sein. Patches werden als Reaktion auf neu aufgespürte Software-Schwachstellen entwickelt. Mitunter ist es der Hersteller selbst, der ein Problem in seinem Produkt entdeckt. In anderen Fällen sind es Sicherheitsexperten, die auf kritische Lücken stoßen und in den Medien darauf aufmerksam machen. Auf Herstellerseite besteht sodann erhöhter Druck, mit einem Patch für schnelle Abhilfe zu sorgen. Viel zu häufig gelangen Informationen zu neuen Schwachstellen jedoch bereits an die Öffentlichkeit, noch bevor ein rettender Patch fertiggestellt ist. Quasi jeder betroffene Rechner gerät somit zur idealen Zielscheibe.

Und: Wird ein Patch schon vor Bekanntgabe einer neuen Sicherheitslücke verfügbar gemacht, gelangt das eigentliche Sicherheitsproblem hierdurch überhaupt erst an die breite Öffentlichkeit. Wer nun nicht umgehend handelt (was eigentlich unmöglich ist), macht sich automatisch zum Angriffsziel. Dies ist das seit Jahren immer wieder zu beobachtende Phänomen des Dreigespanns aus Sicherheitslücke – Patch – Exploit. Vor allem erfahren Hacker nicht zuletzt erst durch den Patch an sich, wie sie ihren Angriff gestalten müssen, um bei ungeschützten Rechnern Erfolg zu haben.

Viele Patches sind mit der heißen Nadel gestrickt

Warum also versuchen Cyber-Kriminelle, Sicherheitslücken auszunutzen, für die bekanntermaßen bereits Patches zur Verfügung stehen? Der einfache Grund: Sie wissen, dass nicht jeder Benutzer Patches unmittelbar nach ihrer Veröffentlichung installiert. Selbst die umsichtigsten Unternehmen warten häufig mit dem breiten Einspielen von Updates, bis genauer getestet wurde, ob es negative Auswirkungen auf den laufenden Betrieb geben könnte. Die ist ein an sich sinnvolles Vorgehen. Denn Patches sind vielfach mit der heißen Nadel gestrickt. Was eigentlich als rettende Maßnahme gedacht ist, kann Systeme ausbremsen oder sogar zum Absturz bringen. Mit der unerwünschten Konsequenz, dass weitere Updates erforderlich werden, um Computer wieder zum Laufen zu bringen – „Patch patcht Patch“.

Von Vorteil ist jedoch: Je mehr Vorarbeit in das Patch-Management investiert wird, desto einfacher können Sie eigene Computer und Systeme von Mitarbeitern sicherheitstechnisch auf dem neuesten Stand halten. Der folgende 10-Punkte-Plan kann IT-Abteilungen dabei helfen, Systeme zuverlässiger abzusichern:

1. Blick aufs große Ganze – Problem erkannt, Problem gebannt

IT-Abteilungen sind häufig der Auffassung, dass Schwachstellen und Patch-Management vorrangig Microsoft-typische Herausforderungen seien. Vereinzelt wird sogar davon ausgegangen, sämtliche Sicherheitsprobleme ließen sich allein mit der Windows-Update-Funktion beheben. Patches sind jedoch für den Schutz aller IT-Abläufe unerlässlich. Daher ist es umso vorteilhafter, auch einmal über den Microsoft-Tellerrand hinauszuschauen. Denn Gefahr droht inzwischen vielmehr von der Java-Plattform sowie von Adobe-Lösungen. Informieren Sie sich zu diesem Thema, ob über Whitepaper oder im Gespräch mit Branchenkollegen. Und vor allem: Führen Sie eine umfassende Bestandsaufnahme der in Ihrem Unternehmen eingesetzten Software durch. So erfahren Sie genau, welche Lösungen von Ihrem Patch-Management abgedeckt sein müssen.

2. Regelmäßige Bestandsaufnahme

Software, deren Existenz Ihnen noch nicht einmal bekannt ist, kann erst recht nicht zuverlässig mit Patches abgesichert werden. Die Antwort auf diese Herausforderung lautet: Asset-Management. Nutzen Sie spezielle Tools zur umfassenden Bestandsaufnahme, um eine Inventarliste von jeglicher auf Firmenrechnern installierter Software anlegen zu lassen. So erhält Ihre Patch-Management-Lösung alle erforderlichen Informationen, die zur vollständigen Aktualisierung der Software und Betriebssysteme Ihrer Computer benötigt werden.

Das Asset-Management muss zudem auf Dauer angelegt sein. Kontrollen sind regelmäßig durchzuführen, um neu installierte Applikationen wie auch aktuell vorhandene Patches und Service Packs zu erkennen.

3. Einheitliche Festlegung verlässlicher, strukturierter Abläufe

Obwohl leistungsfähige Tools deutlich zur Entlastung beitragen können, ist das Patch-Management auch weiterhin kein Kinderspiel. Für eine passende Strategie braucht es Durchblick und Teamarbeit. Sollten Sie auch nur geringste Zweifel an der Zuverlässigkeit Ihrer Verwaltungslösungen und Abläufe hegen, setzen Sie lieber auf ein Team aus engagierten, vertrauenswürdigen Mitarbeitern.

Verwaltungsstrukturen sind von Organisation zu Organisation außerdem verschieden. In zentral gelenkten Unternehmen kann ein einzelnes IT-Team sich um das gesamte unternehmensweite Asset-Management kümmern. Zu seinen Aufgaben gehört es, fehlende Patches und deren Dringlichkeit festzustellen, mögliche Konflikte mit anderen kritischen Komponenten oder Programmen zu überprüfen und dann für die Bereitstellung zu sorgen.

Oftmals sind es jedoch verschiedene kleine, teilweise durch Firmenübernahmen auf unterschiedliche Standorte verteilte IT-Abteilungen, die sich um Abläufe kümmern müssen. Jede von ihnen muss sich mit den Anforderungen des Patch-Managements auseinandersetzen. Zudem sind Tools erforderlich, die effiziente Patch-Abläufe ermöglichen.

Ob nun zentrale oder dezentrale Strukturen: Das Patch-Management mit allen verbundenen Abläufen muss vollständig in der Hand der Unternehmens-IT liegen. Mit Ausnahme vereinzelt erforderlicher Benutzereingriffe bei den überwiegend automatisch ablaufenden Windows-Updates sollten Endanwender das Patchen keinesfalls in Eigenregie übernehmen. Denkbar ist dies nur nach einer detaillierten Schulung durch die IT, beispielsweise wann und wie Patches zu installieren sind.

4. Unterstützung durch automatisierte Tools

Als das Patch-Management noch in seinen Kinderschuhen steckte, stand lediglich eine sehr überschaubare Anzahl an Komplettlösungen zur Verfügung, die alle Anforderungen des Patchens abdecken konnte. Stattdessen mussten die meisten IT-Abteilungen mit bunt zusammengewürfelten Tools ihrer Software-Anbieter vorlieb nehmen.

Moderne Top-Lösungen zum Patch-Management bedienen heute mehrere Plattformen gleichzeitig. Außerdem gewährleisten sie automatisch ablaufende Systemaktualisierungen. Aufwendiges manuelles Testen und Installieren jedes einzelnen Patches gehören der Vergangenheit an. Aktuelle Tools erkennen darüber hinaus sofort, wenn neue Sicherheits-Updates verfügbar sind und klassifizieren diese nach Dringlichkeit. Anschließend wird automatisch überprüft, welche Schwachstellen in betroffener Unternehmenssoftware zu welchem Zeitpunkt geschlossen werden sollten.

5. Priorisierung zu schützender Systeme

Nicht alle Computer sind gleich. Im Klartext: Der Computer des Geschäftsführers ist im Vergleich zum Rechner eines einfachen Angestellten bevorzugt zu behandeln. Ebenso sollte eher die Software Ihres Kundendatenbank-Servers in Sachen Patches auf den neuesten Stand gebracht werden, als kaum noch benötigte Applikationen.

Priorisierung ist somit wichtig, die Aktualisierung besonders geschäftskritischer Systeme steht an erster Stelle. Für sie muss stets eine durchgängige Versorgung mit allen erforderlichen Patches gewährleistet sein. Darüber hinaus ist jedoch auch zu berücksichtigen, dass einige Computer anfälliger für Hacker-Attacken sind als andere. Frei zugängliche Front-End-Systeme sind ständigen Angriffen ausgesetzt und sollten somit zuerst gepatcht werden. Gleiches gilt für E-Commerce-Systeme.

6. Einrichtung standardisierter Systeme

Je mehr unterschiedliche Software zum Einsatz kommt, desto größer ist die Anzahl der zu verwaltenden Patches. Ist die Standardisierung der IT-Umgebung auf der Strecke geblieben (wie in vielen Unternehmen), gibt es ein Sammelsurium an Applikationen und Konfigurationen, das mit hohem Aufwand am Laufen gehalten und gewartet werden muss. Sollte genau diese Situation auch auf Ihr Unternehmen zutreffen, ist es möglicherweise dennoch nicht zu spät. Denn bei künftig anzuschaffender Software ist eine Standardisierung weiterhin möglich.

Imaging-Programme können für Sie sicherstellen, dass neue Systeme alle mit dem gleichen Betriebssystem sowie übereinstimmenden Service Packs und Einstellungen aufgesetzt werden. Anschließend müssen Sie sicherstellen, dass Konfigurationen sich möglichst nicht verändern lassen.

7. Patchen oder nicht patchen

Zunächst scheint es nur allzu logisch, jeden neu veröffentlichten Patch zu installieren. Bei kritischen Patches ist dies nahezu immer dringend zu empfehlen. Automatisierte Patch-Tools, die verschiedene Plattformen unterstützen, sorgen ohnehin für eine bequeme Installation aller wichtigen Patches. Weniger wichtige Updates sollten hingegen noch einmal überdacht werden. Es kann sich tatsächlich lohnen, zunächst festzustellen, wie groß der Aufwand für Installation und Testen im Vergleich zu möglichen Ausfallzeiten bei einem erfolgreichen Angriff ist.

8. Tests und Berichterstellung

Sie haben also alle erforderlichen Patches installiert und können davon ausgehen, dass alles in bester Ordnung ist? Nicht ganz. Nur durch zusätzliche Tests lassen sich Konflikte mit anderen Komponenten oder Programmen ausschließen und eine korrekte Installation überprüfen. Zugleich sollte Ihr Reporting-Tool Aufschluss darüber geben, wie viele anfällige Systeme erfolgreich aktualisiert werden konnten.

Nach dem Einspielen von Patches steht mindestens noch eine weitere Aufgabe an: Überprüfen Sie, ob die Sicherheitslücke weiterhin vorhanden ist, um gegebenenfalls die Patch-Installation zu wiederholen. Ungeachtet dessen lohnt es sich, wenn ein Patch-Management-Tool die Installation von Sicherheits-Updates ohne größeren Aufwand rückgängig machen kann. Und nicht zuletzt wäre es sinnvoll zu überprüfen, ob Hacker versuchen, ganz bestimmte Schwachstellen auszunutzen. Ist dies der Fall, sollte erneut kontrolliert werden, ob alle Systeme entsprechend abgesichert sind.

9. Testen mit Verstand – immer auf Nummer sicher gehen

Einige Patches bewirken genau das Gegenteil von dem, für das sie eigentlich gedacht sind: Statt für Sicherheit und Stabilität zu sorgen, verursachen sie Konflikte mit anderer Software und bringen zuvor störungsfrei laufende Systeme zum Absturz. Probleme dieser Art lassen sich vorab mit Hilfe von verschiedenen Tools erkennen, die entsprechende Stabilitätstests für Sie durchführen. Doch auf die Ergebnisse sollten Sie sich nicht immer blindlings verlassen. Insbesondere wenn ein Update auf Systemen installiert werden soll, deren Ausfall verheerende Folgen nach sich zieht, hat es durchaus Sinn, das Testen selbst zu übernehmen.

Ein kontrollierter Patch-Rollout auf weniger kritischen Systemen lässt Sie mögliche Auswirkungen neuer Updates rechtzeitig feststellen. In größeren Unternehmen bietet sich sogar eine Testumgebung an, die Ihre Produktivumgebung eins zu eins nachbildet – beispielsweise per Virtualisierung, um alle Systeme auf einer übersichtlichen Anzahl von Servern unterzubringen.

10. "Keep on Patching"

Das Patch-Management ist ein fortlaufender Prozess. Führen Sie nach der Installation aktueller Sicherheits-Updates immer eine Bestandsaufnahme sämtlicher Applikationen durch. Eine neue Schwachstellenbewertung bietet sich zu diesem Zeitpunkt ebenfalls an. Und nicht zuletzt sollten Sie in regelmäßigen Abständen kontrollieren, ob Abläufe beim Patching auch weiterhin wie gewünscht greifen.

Autor

Sergio Galindo

Sergio Galindo ist General Manager bei GFI Software. Zuvor leitete er weltweite IT-Programme für Großkonzerne der Finanzbranche darunter Bank of New York, Bankers Trust und Lehman Brothers, wo er die Rolle des Senior Vice...
>> Weiterlesen
botMessage_toctoc_comments_9210