Patch-Management

Patch-Management: Der allzu oft verkannte Schlüssel zu mehr IT-Sicherheit

, München, ProSoft | Autor: Robert Korherr

Patch-Management: Der allzu oft verkannte Schlüssel zu mehr IT-Sicherheit

Richtiges Patchen – eine Frage des Timings

Von Robert Korherr, Geschäftsführer der ProSoft GmbH

Auch 2018 ist sich die IT treu geblieben: Tagtäglich werden zahlreiche neue Sicherheitslücken entdeckt, darunter viele mit potenziell schwerwiegenden Folgen. Dabei muss man nicht einmal auf exotische Lösungen von kleinen, unbekannten Herstellern blicken: Allein bei den 50 wichtigsten Software-Herstellern wurden 2017 fast 9.000 Sicherheitslücken erkannt (Quelle: CVEdetails.com) – also mehr als 150 jede einzelne Woche. Betroffen sind Lösungen, die in praktisch jedem Unternehmen und jeder Organisation zum Einsatz kommen, vom Betriebssystem bis zur Branchensoftware.

Robert Korherr, Geschäftsführer der ProSoft GmbH

Wie also umgehen mit diesem Thema, das innerhalb der IT-Security oft eher am Rande betrachtet wird? Während manche Firmen versuchen, mit hohem Aufwand und in sichtlicher Panik jeden erschienenen Patch sofort zu installieren, kümmern sich andere IT-Verantwortliche nur ab und zu um die Aktualisierung der eingesetzten Software.

Beide Vorgehensweisen sind auf ihre eigene Weise falsch. Ein zu hastiges Agieren kann dazu führen, bislang ungeprüfte Patches einzuspielen, die sich dann als inkompatibel mit den eigenen Systemen erweisen. Teure Ausfallzeiten und Produktivitätsverluste sind das Resultat – und am Ende nicht selten folgenreicher als die eigentliche Sicherheitslücke.

Wer beim Patchen hingegen zu nachlässig agiert und sich zu viel Zeit lässt, spielt Cyberkriminellen in die Hände. Je mehr Zeit seit dem Entdecken der Sicherheitslücke verstrichen ist, umso größer ist die Gefahr, dass längst entsprechende „Exploits“ im Umlauf sind, mit der die jeweilige Schwachstelle systematisch ausgenutzt wird.

Die Devise beim Patchen lautet: So schnell wie möglich, so sicher wie nötig

Richtiges Patchen ist also vor allem auch eine Frage des Timings. Patches sollten so schnell wie möglich, gleichzeitig aber auch so sicher wie nötig eingespielt werden.

Genau an dieser Stelle kommen professionelle, systematische Ansätze beim Patch-Management ins Spiel. Gute Patch-Management-Lösungen beinhalten zum einen die intensive Prüfung von Aktualisierungen und Updates. So wird sichergestellt, dass nur einwandfrei funktionierende und für die jeweiligen Systeme auch wirklich geeignete Patches installiert werden. Zum anderen wird das Verteilen und Ausrollen der Patches automatisiert. Das sorgt für mehr Komfort auch in größeren Unternehmen und erhöht gleichzeitig massiv die Sicherheit, da wichtige Patches nicht mehr vergessen werden können.

Patch-Management-Lösungen wie beispielsweise Ivanti Patch for Windows beziehungsweise Ivanti Patch for SCCM bieten darüber hinaus umfangreiche Funktionen für das IT-Asset-Management. Hiermit lassen sich auch Prioritäten beim Patchen der Systeme definieren. Das kann einerseits bedeuten, dass bestimmte, sicherheitskritische Bereiche jeweils schnellstmöglich gepatcht werden. Andererseits lassen sich Ausnahmeregelungen erstellen – ein typisches Beispiel dafür sind etwa anderweitig ausreichend abgesicherte Altsysteme, die zur Vermeidung jeglicher Kompatibilitätsprobleme bewusst von den Aktualisierungen ausgenommen werden sollen. Auch zeitgesteuertes Patchen lässt sich mit professionellem Patch-Management realisieren – die Verteilung kann dann, sofern keine Sicherheitsbedenken bestehen, auf Zeiten außerhalb der regulären Arbeitszeiten gelegt werden, um die Produktivität nicht zu stören. Auch für Server lassen sich auf diese Weise entsprechende Wartungsfenster festlegen. Per Workflow können zudem bestimmte Aktionen vor oder nach der Installation einer Sicherheits-Aktualisierung automatisiert werden – eine zusätzliche Arbeitserleichterung für Administratoren und IT-Verantwortliche.

Bei der Auswahl einer Patch-Management-Lösung sollten Unternehmen auf die Vielfalt der abgebildeten Softwareprodukte achten. Neben Microsoft sollten unbedingt auch Applikationen von Drittanbietern wie Mozilla, Adobe usw. berücksichtigt werden, um möglichst alle gängigen Lösungen abzudecken. Wer den System Center Configuration Manager (SCCM) von Microsoft einsetzt, kann etwa bei Ivanti Patch for SCCM auch Drittanbieter-Patches direkt in die Konsole einbinden und vor dort einfach und zeitgesteuert verteilen lassen.

Schlecht gepatcht ist nicht zwangsläufig besser, als gar nicht gepatcht

In vielen Unternehmen besteht beim Thema Patch-Management empfindlicher Nachholbedarf. Während blinder Aktionismus und unüberlegtes Patchen sich sogar nachteilig auswirken können, lässt sich die Patch-Prüfung und -Verteilung mit einer passenden Lösung relativ einfach automatisieren – ein erheblicher Mehrgewinn an Komfort und Sicherheit.