Endpoint Security und -Management

3 Schritte zum perfekten Patch-Management

| Autor / Redakteur: Olav Strand / Peter Schmitz

Ein mehrstufiger Patch-Prozess ermöglicht es IT-Teams auch bei größeren Herausforderungen die Unternehmens-IT kontinuierlich mit Sicherheits-Updates zu versorgen.
Ein mehrstufiger Patch-Prozess ermöglicht es IT-Teams auch bei größeren Herausforderungen die Unternehmens-IT kontinuierlich mit Sicherheits-Updates zu versorgen. (Bild: Pixabay / CC0)

Aktuelle Sicherheitslücken und Cyber-Angriffe zeigen, dass die Verteidigungslinien vieler Unternehmen nicht ausreichen. Neben dem Aufbrechen von Silos innerhalb der IT-Teams und der Anwendung von umfassenden Tools für die Sicherheits-Hygiene ist vor allem eins entscheidend, ein konkreter, mehrstufiger Prozess für das Patch-Management.

Die Angriffsszenarien Meltdown und Spectre oder die Ransomware WannaCry zeigen immer wieder, wie wichtig es ist, die eigene Hard- und Software durch Sicherheits-Updates vor solchen Angriffen zu schützen. Dies gilt ganz besonders für Unternehmen, die über viele wertvolle und sensible Daten verfügen. Erfahrungswerte aus der Praxis des amerikanischen Endpoint-Security- und System-Management-Anbieters Tanium zeigen jedoch: Viele Unternehmen sind in punkto Updates nicht auf dem neuesten Stand. Bei 60 Prozent der Endgeräte fehlen sechs oder mehr kritische Patches, bei Patches für Adobe Flash oder Oracle Java sind es sogar über 90 Prozent.

Wie können IT-Profis eine solche Bilanz verhindern und das Patch-Management im Unternehmen so gestalten, dass es jederzeit auf dem aktuellen Stand ist? Beispiel WannaCry: Zum Zeitpunkt des Ausbruchs war eigentlich bereits seit zwei Monaten ein Update verfügbar, das genau diesen Ausbruch verhindern hätte können. Und WannaCry nutzte eine Schwachstelle in einem Windows-Feature aus, das bereits seit vier Jahren nicht mehr aktuell war. Neben anderer Gründe gab es in diesem Fall auch einige technische Herausforderungen bei der Installation des Updates selbst: Einerseits benötigten fast alle Windows-Versionen dieses Update, so dass zahlreiche Systemrollen und -Typen vorab getestet werden mussten. Darüber hinaus verlangte das Update einen Neustart der Systeme, was eine gewisse Koordination erfordert, um die Auswirkungen auf die Arbeitsprozesse möglichst gering zu halten. Darüber hinaus war der Patch ursprünglich nicht für Windows XP und Server 2003 erhältlich und wurde für diese Betriebssysteme erst nach dem eigentlichen Ausbruch zur Verfügung gestellt. Obwohl diese beiden älteren Versionen auslaufen, sind sie jedoch in vielen Business-Netzwerkumgebungen immer noch im Einsatz.

Updates für neue Spectre Varianten V3 und V4

Status Mai 2018 für Spectre und Meltdown

Updates für neue Spectre Varianten V3 und V4

31.05.18 - Intel hat Updates für neue Versionen der Spectre-Sicherheitslücken angekündigt. Von Spectre V3a und V4 sind nahezu alle Intel-Prozessoren betroffen. Die neuen Versionen nutzen andere Angriffsmethoden, die laut Intel zwar sehr schwer eingesetzt werden können, aber dennoch eine Gefahr darstellen. Aus diesem Grund sollten die Updates installiert werden, sobald Sie verfügbar sind. lesen

Bei Meltdown und Spectre, die Schwachstellen in der Hardware-Architektur der Prozessoren ausnutzen, sieht die Ausgangssituation etwas anders aus. Es gab jedoch ebenfalls Herausforderungen für das Patch-Management: In diesem Fall sind die benötigten Updates sehr komplex, weil nicht nur die betroffene Hardware Sicherheits-Updates benötigt, sondern auch das Betriebssystem und die installierte Software.

Zudem traten zunächst einige Schwierigkeiten auf: Die ersten Sicherheits-Updates der Hersteller erwiesen sich als fehlerhaft; viele PCs erlitten Leistungseinbußen oder starteten willkürlich. Deshalb wurden diese Patches zurückgezogen und dann schrittweise wieder veröffentlicht. Die jetzt verfügbaren Patches müssen jedoch genau koordiniert werden, weil sie nicht für alle Geräte gleichermaßen geeignet sind, sondern etwa nur für ganz bestimmte Hardware-Versionen. Andere Ausgangssituation, ähnliches Ergebnis wie bei WannaCry: Viele IT-Experten entschieden sich zunächst gegen die entsprechenden Sicherheits-Updates. Langfristig macht eine solche Entscheidung das System aber natürlich anfälliger gegenüber Angriffen.

Herausforderungen im Patch-Management

In vielen Unternehmen besteht die IT Infrastruktur aus einer Mischung älterer wie auch aktueller Technologie. Laut Frost &Sullivan laufen in Unternehmen durchschnittlich vier bis sechs verschiedene Betriebssysteme auf den Endpoints im Netzwerk, ähnliche Zahlen gelten auch für die Server. Und auf diesen Plattformen wiederum laufen hunderte von geschäftskritischen Anwendungen, die auf Änderungen im Betriebssystem unterschiedlich reagieren.

Ähnlich vielfältig sind auch die verwendeten Tools zur System-Verwaltung: Beispielsweise nutzen manche Unternehmen ein Tool für die Server-Verwaltung, ein weiteres für die Verwaltung von Windows-Systemen und wieder ein anderes Produkt für Windows-Server. Muss nun ein Patch auf all diesen Geräten installiert werden, müssen die IT-Teams die dafür notwendigen Informationen an den verschiedensten Stellen „zusammensammeln“. Das funktioniert oft nur mäßig gut, so dass die IT-Experten keinen umfassenden Überblick über alle Geräte erhalten. Eine Folge davon sind quasi „blinde Flecken“ im Netzwerk, also Bereiche, in denen IT-Probleme nicht gelöst werden, weil sie genau in den Lücken zwischen dem Abdeckungsbereich der angewendeten Tools liegen.

Das Problem solcher Lücken ist nicht auf die Technik beschränkt. Endnutzer-Bereich, Server-Administration oder die Verwaltung von Anwendungen – all dies wird oft von verschiedenen Teams betreut, die nicht optimal zusammenarbeiten. Eventuelle externe Vertragspartner kommen dabei noch hinzu. Darüber hinaus sind auch die Bereiche IT-Operations und IT-Sicherheit oft sehr stark voneinander getrennt. Das daraus resultierende Silodenken kann gerade in Notfallsituationen wie Ransomware-Angriffen gefährliche Zeitverzögerungen mit sich bringen.

In den letzten Jahren wurden außerdem agile Methoden und der DevOps-Ansatz, der eine effizientere Zusammenarbeit der Bereiche Development, Operations und Qualitätssicherung ermöglicht, immer beliebter. Zuerst vor allem von Software-Entwicklern eingesetzt, haben sich diese Arbeitsmethoden inzwischen in vielen Unternehmensbereichen durchgesetzt. In der IT selbst ist jedoch ein gewisser Widerspruch in den Arbeitsphilosophien ungelöst geblieben: Während die oben genannten Methoden iteratives und schnelles Entwickeln in den Fokus rücken und auf schnelle Lösungen Wert legen, benötigen Change-Control-Prozesse, also die Verwaltung von Änderungen in einem Produkt oder System, methodische Planung und sorgfältige Überprüfung.

3 Schritte zum umfassenden Patch-Management

Um all diese Herausforderungen zu bewältigen, sollten IT-Teams einem klaren Patch-Prozess in mehreren Stufen folgen:

Schritt 1 – Überblick über alle Endpoints im Unternehmen: Auch wenn verschiedene Patches verschiedene Maßnahmen erfordern, sollte dabei jedoch immer eins am Anfang stehen: ein umfassender Überblick über die Anzahl aller Endpoints im Netzwerk, also Laptops, Desktops, Server und weiterer Geräte. Tanium hat bei seinen Analysen festgestellt, dass es meist 12 bis 20 Prozent mehr Endpunkte in Unternehmensnetzwerken gibt, als den Unternehmen bisher bewusst war. Entscheidend sind außerdem weitere Informationen etwa zur Konfiguration der Geräte, also Hardware-Typ, Art der Prozessoren und Betriebssystem-Versionen. Desweiteren ist wichtig, welche Patches die jeweiligen Endpoints benötigen und ob sie mit diesen kompatibel sind.

Schritt 2 – Unternehmensweite Installation der Patches: Die notwendigen Patches sollten mit Hilfe einer zentralen Plattform unternehmensweit installiert und überwacht werden, was diesen Prozess sehr viel schneller und effizienter macht. Dies ist gerade im Gefahrenfall eines Angriffs entscheidend, wenn jede Minute zählt. Und falls etwas schief geht und ein Patch unerwartete Reaktionen hervorruft, sollte er gegebenenfalls auch wieder zügig rückgängig gemacht werden können.

Schritt 3 – Erfolgsmessung: Im Anschluss müssen die ausgerollten Updates genau überprüft werden, um einzuschätzen, ob der Vorgang erfolgreich war. Dieser Schritt ist etwa bei Sicherheits-Patches gegen Meltdown und Spectre sehr wichtig, die zu Performance-Einbußen bei bestimmten Arbeitsschritten führen können. Deshalb sollte in diesem Fall die Performance der Geräte vor und nach dem Aufspielen der Patches geprüft werden.

Dieser mehrstufige Patch-Prozess ermöglicht es IT-Teams auch bei größeren Herausforderungen das Unternehmensnetzwerk kontinuierlich mit aktuellen Sicherheits-Updates zu versorgen, was das Risiko von Angriffen erheblich mindert. Generell sollten IT-Verantwortliche ein größeres Augenmerk auf Systemmanagement und Sicherheits-Hygiene legen, statt nur an die Entdeckung und Bekämpfung von Angriffen zu denken.

Über den Autor: Olav Strand ist Regional Vice President Central Europe bei Tanium.

Microsoft Meltdown-Patch vergrößert das Problem

Windows 7 und Windows Server 2008 R2 unsicherer als zuvor

Microsoft Meltdown-Patch vergrößert das Problem

04.04.18 - Auch Microsoft veröffentlicht regelmäßig neue Updates, um die Meltdown-Lücke zu flicken. Die Version von Januar 2018 schafft allerdings mehr Probleme als sie schließt, denn der Patch öffnet neue Sicherheitslücken, die genau das ermöglichen, was der Patch eigentlich verhindern soll: Das nahezu unbegrenzte Auslesen von Informationen aus dem Arbeitsspeicher. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45332421 / Schwachstellen-Management)