Automatisiertes Patch Management Das Zeitfenster zwischen Schwachstelle und Security Update minimieren

Autor / Redakteur: Maik Bockelmann / Stephan Augsten

Wer kennt nicht den Patch Tuesday von Microsoft? Auf diesen Tag „freuen“ sich die Administratoren jeden Monat aufs Neue. Dabei ist das Patch-Management auf neueren Windows-Plattformen gar nicht mehr das größte Problem. Viel schwieriger ist es, bei Drittanbieter-Software den Überblick über verfügbare Sicherheitsupdates zu behalten.

Firmen zum Thema

Beim Patch-Mamangement hat der Administrator vor allem einen Gegner: die Zeit.
Beim Patch-Mamangement hat der Administrator vor allem einen Gegner: die Zeit.
( Archiv: Vogel Business Media )

Obwohl das kontinuierliche Flicken aller Systemlecks zu Beginn vor allem ein Problem von Windows und Microsoft Office war, stellt mittlerweile eine Vielzahl von Softwareanbietern immer neue Updates zur Verfügung. Mit dieser Flut an Patches haben die Administratoren in den Unternehmen alle Hände voll zu tun. Dabei könnten sie sich mit einer automatischen Patch Management-Lösung jede Menge Arbeit ersparen und die IT noch besser absichern.

Seitdem Microsoft seinen Patch-Prozess verbessert hat und Werkzeuge zur Verfügung stellt, die die Verwaltung der Updates vereinfachen, sehen sich die Angreifer vermehrt nach anderen potentiellen Schwachstellen um. Als Ergebnis dieser Suche nutzen Hacker heute jede noch so kleine Lücke in allen gängigen Programmen.

Zwar werden diese Schwachstellen von den Herstellern so schnell wie möglich beseitigt, allerdings funktioniert das leider nicht ohne die Unterstützung der Anwender, die die entsprechenden Pflaster an die richtige Stelle kleben müssen. Dabei sind die Patches von Microsoft im Gegensatz zu denen anderer Anbieter verhältnismäßig einfach zu handhaben.

Ein Rattenschwanz an Aufgaben

Die Updates von Adobe, Flash oder Java erfordern sehr viel mehr Arbeitsaufwand von den Administratoren. Mit der Vielzahl an Anwendungen, die in den Unternehmen verwendet werden, bedeutet das für IT-Abteilungen jede Menge Chaos und Überstunden.

Jedes einzelne Update muss gesichtet, überprüft, verpackt und an den relevanten Arbeitsplätzen installiert werden. Zudem müssen verschiedenste rechtliche Vorgaben sowie Service Level Agreements und Compliance-Richtlinien beachtet werden.

Das bedeutet, dass jedes einzelne Update zusätzlich dokumentiert und auf seine Effektivität hin überprüft werden muss. Das sind für einen Arbeitsplatz jährlich allein von Windows bis zu 70 Updates. Zählen wir jetzt noch die Patches von Firefox und/oder Internet Explorer, Adobe, Java und Office hinzu, verliert man schnell die Lust zu zählen.

All diese Patches manuell zu installieren, übersteigt häufig die Kapazitäten der Administratoren und wichtige Sicherheitslücken können nicht umgehend geschlossen werden. Somit steigt das Sicherheitsrisiko.

Seite 2: Schnellere Reaktion erforderlich

Schnellere Reaktion erforderlich

Erschwerend kommt hinzu, dass die Entwicklung passender Patches für jede einzelne Lücke unterschiedlich lange dauert. Noch dazu verschicken die Hersteller nicht alle Updates automatisch an die Nutzer. Das bedeutet enormen zusätzlichen Aufwand, um mögliche Schwachstellen ausfindig zu machen und zu schließen.

Bis jetzt sind viele Unternehmen mit einem blauen Auge davon gekommen, da globale Attacken wie die durch Stuxnet vergleichsweise selten vorkommen. Dass diese Angriffe auch in Zukunft so glimpflich ablaufen, ist allerdings eher unwahrscheinlich.

Die Abstände in denen mögliche Schwachstellen entdeckt werden, sinken rapide – aber die Reaktionszeiten der Administratoren bleiben die gleichen. Davon profitieren die Angreifer ganz besonders, da sie oft ausreichend Zeit haben, um die entsprechenden Schadcodes zu entwickeln.

Geschwindigkeit durch Automatisierung

Geschwindigkeit ist demzufolge beim Patch Management das A und O – und nur ein automatisierter Prozess liefert das notwendige Tempo und damit die gewünschte Sicherheit. Leider wissen viele Unternehmen gar nicht, dass diese effizienten Prozesse existieren, oder sie sorgen sich lediglich um die Kosten. Mitunter schränken auch bestehende Service-Verträge mit Anbietern ohne Patch Management-Lösungen die Entscheidungsfreiheit für neue Vereinbarungen ein.

Die Gründe für manuelle Patch-Implementierung sind vielfältig: Einer der am häufigsten genannten Gründe ist der, dass Unternehmen auf die alten Arbeitsabläufe vertrauen, die anscheinend funktionieren. Die Bereitschaft, neue Wege zu gehen, ist daher bis jetzt eher gering.

Doch der Schein trügt! Nur weil reguläre, manuelle Systemüberprüfungen keine Schwachstellen aufdecken, ist das System nicht zwangsläufig sicher. Automatisierte Lösungen bieten ein weit höheres Maß an Sicherheit als der althergebrachte Weg, jedes Patch einzeln zu verpacken und an die User zu verschicken.

Deswegen stellt sich die Frage, warum der Wechsel so schwer fällt, besonders im Hinblick auf die vielen Arbeitsstunden und Nerven, die für diese Prozesse aufgewendet werden. Die Einstellung unzähliger Unternehmen ändert sich meist erst dann, wenn der Schaden schon entstanden ist. Es empfiehlt sich allerdings, nicht so lange zu warten – denn hier gilt das gleiche Sprichwort wie in der Medizin: Vorbeugen ist besser als heilen!

(ID:2049559)