icetray - Fotolia

F

Wie lässt sich das Patch-Management optimieren?

Wird das Einspielen von Sicherheits-Updates vernachlässigt, kann das weitreichende Folgen haben. Hier einige Empfehlungen zum Patch-Management.

Laut des jährlichen „Internet Security Threat Report“ von Symantec ist das ungenügende Schließen von Schwachstellen durch Updates eines der größten Sicherheitsprobleme von Unternehmen. So habe man festgestellt, dass in den letzten drei Jahren 75 Prozent der von Symantec gescannten Webseiten ungepatchte Schwachstellen aufwiesen. Nachfolgend einige Punkte, wie CISOs die Patch-Situation verbessern können.

Das Aufspielen von Patches ist eine Präventivmaßnahme, die Systeme vor Beeinträchtigung durch Malware, unbefugten Nutzern oder Fehlern schützen soll. Und es gilt unterschiedlichste Systeme mit Patches zu versehen: Die Bandbreite reicht von Microsoft Office über Betriebssysteme bis hin zu Netzwerkgeräten und natürlich Servern jeder Couleur. Man muss zwischen Patches und Updates unterscheiden, aber letztere sollten natürlich in eine Patch-Diskussion einbezogen werden, da häufig auch mit einem Update Fehler und Sicherheitslücken beseitigt werden. Prinzipiell lässt sich das Aufspielen von Fixes häufig automatisieren, aber in vielen Unternehmen ist das selektive Einspielen Alltag – meist schon aus Gründen der Verfügbarkeit der Systeme. Das Aufspielen von Sicherheits-Updates erfolgt dann zumeist in einem geplanten Wartungsfenster.

Manche Firmen spielen die verfügbaren Sicherheits-Updates pünktlich am Update Tuesday, den zweiten Dienstag im Monat, ein. Andere haben immer noch das Einspielen von drei Monate alten Software-Fixes vor sich. Aber die meisten Unternehmen sind bemüht, verfügbare Sicherheits-Updates binnen 30 Tagen nach der entsprechenden Benachrichtigung anzuwenden.

Allerdings gibt es immer noch Unternehmen, die erst nachdem ein Schadensfall eingetreten ist, die Bedeutung von Sicherheits-Updates wirklich ernst nehmen. An anderer Stelle schreiben Compliance-Regeln oder andere Standards wie PCI-DSS entsprechende Updates vor. Mit Hilfe von Schwachstellen-Scanner können Administratoren und Sicherheitsbeauftragte kritische Updates richtig einstufen und das Patch-Management im Unternehmen optimieren.

Apropos System-Administratoren, das Aufspielen von Sicherheits-Updates sollte von ihnen durchgeführt werden. Aber Sicherheitsverantwortliche können beispielsweise für die Überwachung oder das Schwachstellen-Monitoring zuständig sein. Auch das Testen von Updates und Einhalten der 30-Tage-Frist kann durch die Sicherheitsverantwortlichen eingefordert werden. Wenn kein automatisches Einspielen von Patches angewendet wird, sollte das Thema prozessseitig wie eine Änderung einer Installation betrachtet werden.

Tipps zum Patch-Management

Um das Aufrechterhalten des Patch-Levels zu gewährleisten, sollte der CISO zur Verbesserung des Patch-Managements folgende Punkte berücksichtigen:

  • Legen Sie eine Richtlinie hinsichtlich den Schwachstellen und Sicherheits-Updates fest. Diese muss die Identifizierung von Schwachstellen regeln, inklusive der Quellen für entsprechende Informationen. Und hierin müssen alle Rollen und Verantwortlichkeiten des Patch-Prozesses bestimmt werden, inklusive der Festlegung, woher die Sicherheits-Updates zu beziehen sind.
  • Richten Sie ein Gremium aus IT-Abteilung und Anwendern ein, das sich um die Ermittlung der Schwachstellen und das Schließen derselben kümmert. An dieser Stelle werden auch die Priorisierung und die Anwendung der Updates sichergestellt.
  • Halten Sie die Patch-Management-Software, die sich um die Updates für Desktops, Notebooks und mobile Mitarbeiter kümmert, auch selbst immer auf dem neusten Stand.
  • Abonnieren Sie entsprechende Warnmeldungen. Häufig liefern die Anbieter der betroffenen Software selbst entsprechende Dienste mit zusätzlichen Informationen zu den jeweiligen Sicherheits-Updates.
  • Falls das Unternehmen Standards wie PCI-DSS unterliegt, stellen Sie sicher, dass alle technischen Möglichkeiten vorhanden sind, um diesen zu entsprechen. Also etwa das Einspielen von Updates innerhalb von 30 Tagen nach Erscheinen.

Das Einspielen von Sicherheits-Updates zählt meist nicht zu den spannendsten IT-Tätigkeiten und auch mit einem Schulterklopfen hierfür darf man nicht zwangsweise rechnen. Aber wenn Systeme stets auf einem aktuellen Stand gehalten werden, kann dies verhindern, dass Schwachstellen ausgenutzt werden. Wird das Patchen hingegen vernachlässigt, kann es schnell zu teuren Ausfällen oder anders gearteten Schadensfällen wie Datendiebstahl kommen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Wieviel Zeitaufwand ist fürs Patchen und Updaten gerechtfertigt?

Tipps für ein besseres Patch-Management.

Patch-Management – Tipps für die richtige Strategie.

Microsoft packt die Security Bulletins in eine Datenbank.

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close