Suchen

Patch-Rollout oft um eine Woche und länger verzögert Update- und Patch-Management in deutschen Großunternehmen überbewertet

| Redakteur: Stephan Augsten

Sobald eine Sicherheitslücke auftaucht, versuchen findige Hacker auch schon die Schwachstelle auszunutzen. Doch die Gefahr von Zero-Day-Exploits wird unterschätzt, meint Ampeg: In einer Studie hat der der Security-Hersteller herausgefunden, dass viele Unternehmen ihrem automatischen Update-Verteilsystem zu viel Vertrauen schenken.

Firmen zum Thema

Vor dem Start: Der Patch-Rollout dauert in vielen Unternehmen zu lange.
Vor dem Start: Der Patch-Rollout dauert in vielen Unternehmen zu lange.
( Archiv: Vogel Business Media )

Viele Software- und Betriebssystem-Hersteller setzen mittlerweile auf Kommunikation statt Geheimniskrämerei, wenn es um Sicherheitslücken geht. Doch die Veröffentlichung solcher Security-Bulletins oder -Advisories ist ein zweischneidiges Schwert.

Security-Administratoren können zwar Workarounds entwerfen oder Anweisungen an die Mitarbeiter herausgeben. Doch bis ein Patch oder Update für die jeweilige OS-Plattform bzw. Software herausgegeben wird, müssen sie sich prinzipiell unsicher fühlen.

Bildergalerie
Bildergalerie mit 5 Bildern

Dass dem aber gar nicht so ist, hat eine Umfrage des Sicherheitsdienstleisters Ampeg unter 50 Chief-Security-Officern (CSOs) und IT-Leitern ergeben: Das Update- und Patch-Management wird nämlich deutlich überbewertet.

Aussagen hinsichtlich der Leistung automatischer Patch-Management-Systeme beruhen laut Ampeg eher auf Vermutungen: Rund 45 Prozent der Security-Verantwortlichen schätzten Zeitangaben oder konnten gar nicht erst angeben, wie schnell und gründlich ihre Systeme arbeiten.

Patch-Verteilung drastisch verzögert

Oft dauert es viel zu lange, bis alle Systeme tatsächlich gepatcht sind. Der Hauptgrund ist laut der Studie, dass interne Analyse- und Testlabore die Updates und Patches erst nach durchschnittlich einer Woche zur Verteilung freigeben. Rund acht Tage dauert es, bis der komplette Patch-Prozess abgeschlossen ist.

Knapp 30 Prozent der Befragten sehen in diesem verzögerten Roll-Out keine ernstzunehmende Gefahr. Und ob die Updates auf den Zielrechnern überhaupt ankommen, können viele der Befragten auch nur vage einschätzen: Nur knapp Hälfte der IT-Leiter prüft den Roll-Out-Erfolg regelmäßig.

Gerade einmal 38,3 Prozent der Umfrage-Teilnehmer gaben an, die Patch- und Virenpattern-Versorgung aller Rechner tatsächlich sicherstellen zu können. Dabei verlassen sich drei Viertel der Befragten auf Informationen, die eine Woche oder älter sind.

Outsourcing im Trend, Berichte aber nicht zufriedenstellend

Wenn das Patch-Management einem externen Dienstleister überlassen wird kommen laut Peter Graf, Mitgründer und Geschäftsführer von Ampeg, weitere Probleme hinzu: „Berichte in Papierform werden oft schon als Fortschritt gesehen.“

Zwar gebe es in vielen Unternehmen zeitliche Service bzw. Security Level Agreements. „Aber auch deren Einhaltung kann keiner genau und zeitnah überprüfen.“

Patch-Management als Schwachstelle

Damit untergräbt das ungenügende Patch-Management die eigentlich guten IT-Sicherheitsstandards vieler deutscher Großunternehmen. Denn Zero-Day-Attacken sind heute buchstäblich an der Tagesordnung. „Vor kurzem gelang sogar der Nachweis, dass automatisierte Patch-Exploits möglich sind“, warnt Graf.

Beim Patch-Management bestehe vor allem hinsichtlich der Transparenz und dem Reporting weiterhin ein Optimierungsbedarf. Doch im Gespräch mit Security-Insider.de hat Peter Graf auch Lob für die Unternehmen übrig: „Zumindest wurde in vielen Fällen mittlerweile die Stelle eines CSO oder Sicherheitsverantwortlichen geschaffen.“

(ID:2013222)