Robert Kneschke - Fotolia

Sieben Einkaufstipps für automatisierte Patch-Management-Produkte

Experte Earl Follis erklärt, wie Sie automatisierte Patch-Management-Produkte für Ihr Unternehmen effektiv evaluieren und beschaffen.

Patch-Management-Produkte bieten Organisationen die Möglichkeit, die in der Branche üblichen Best Practices einzuhalten und gleichzeitig allen maßgeblichen gesetzlichen Bestimmungen für das regelmäßige Patchen von Software nachzukommen, geregelt etwa durch die US-Gesetze und -Vorschriften SOX, FRCP und HIPAA – wichtig für Unternehmen mit Geschäftsbeziehungen in die USA. Aber auch in Deutschland verlangt das IT-Sicherheitsgesetz technische und organisatorische Maßnahmen nach dem Stand der Technik, um Sicherheitsprobleme zu verhindern. Das BSI weist in diesem Zusammenhang darauf hin, dass dies regelmäßiges und rasches Einspielen von Software-Updates und Sicherheits-Patches beinhaltet.

Wenn die Patch-Management-Produkte automatisiert sind, kann eine Organisation viel einfacher garantieren, dass alle IT-Systeme mit den neuesten Patches der Hersteller von Anwendungssoftware und Betriebssystemen auf dem aktuellen Stand bleiben. Dies erleichtert den mitunter beschwerlichen Patch-Management-Prozess.

Dieser dritte Artikel in unserer Serie über den Kauf von automatisierten Patch-Management-Produkten untersucht die Schritte, die notwendig sind, um Patch-Management-Software für eine Organisation effektiv zu evaluieren und auszuwählen. Wie bei jedem IT-Projekt raten wir strikt dazu, dass bei diesem Prozess etablierte IT-Projekt-Management-Techniken zum Einsatz kommen. Das umfasst die Ernennung eines Projekt-Managers und Projektsponsoren sowie die Einbindung aller Stakeholder. Wenn sich Organisationen an vorhandene Projekt-Management-Prozesse halten, stellen sie sicher, dass alle Aspekte von Patch-Management-Produkten, die in Betracht kommen, angemessen evaluiert werden.

Ein altes Sprichwort in der IT lautet: Fehlende Planung ist der erste Schritt zum Misserfolg. Ein Patch-Management-Projekt einer Organisation sollte genau das sein: ein nach anerkannten Verfahren geführtes und gesponsertes IT-Projekt. Es ist entscheidend, dass der Prozess für den Kauf von Patch- Management-Produkten gesteuert wird, um sicherzustellen, dass alle entsprechenden IT-Prozesse, -Regeln und -Richtlinien durchgehend beachtet werden.

Stakeholder identifizieren

Einer der ersten Schritte besteht darin, die relevanten Stakeholder zu ermitteln. Zu den Stakeholdern können gehören: Endnutzer, das IT-Management und Fachbereichsleiter, die auf die IT angewiesen sind, um die Software aktuell zu halten, so dass sich Einkünfte ohne Unterbrechung generieren lassen. Es kann im Unternehmen auch Compliance-Stakeholder bis zum CEO einer Firma geben, die aufgrund von gesetzlichen und Compliance-Vorgaben, die geeignete automatisierte Patch-Management-Services definieren, die als Stakeholder berücksichtigt werden müssen. Sobald eine Organisation die Stakeholder für das Patch-Management-Projekt identifiziert hat, achten Sie darauf, diese Personen bei der gesamten künftigen Projektkommunikation und allen Überprüfungen der Projektphasen einzubeziehen.

Anforderungen für automatisierte Patch-Management-Produkte definieren

Nachdem eine Organisation die Stakeholder ermittelt hat, ist es an der Zeit, mit dem Sammeln der Anforderungen für diese Mitarbeiter zu beginnen. Das Erfassen, Verifizieren und Ranking der Anforderungen für automatisierte Patch-Management-Produkte bildet eine objektive Grundlage, die der Organisation für die Dauer des Beschaffungsprojekts gute Dienste leisten wird.

Nutzen Sie getreu einer anderen IT-Weisheit (Man kann nicht managen, was sich nicht messen lässt.) eine Liste mit den Projektanforderungen. Wenn Sie eine Anforderungsliste erstellen, sollten Sie zum Beispiel folgende Fragen berücksichtigen:

  • Funktioniert das Produkt in allen maßgeblichen Situationen wie beworben?
  • Reicht unser Budget dafür aus?
  • Lässt es sich einfach in unser bestehendes System integrieren ‑ seien es Management-Produkte oder -Lösungen?
  • Ist es einfach anzuwenden? Die IT ist bestrebt, mehr Arbeit mit weniger Personal zu erledigen. Daher ist der Bedienkomfort ein wichtiger Gesichtspunkt.
  • Bietet der Anbieter Support rund um die Uhr? Das Patch-Management findet womöglich in der Nacht statt. Aus diesem Grund ist es wichtig, jederzeit kompetente technische Unterstützung zu erhalten.
  • Unterstützt das Produkt alle Geräte und Plattformen, die derzeit im Betrieb sind oder mit deren Einsatz künftig zu rechnen ist?
  • Läuft es im Hintergrund, so dass weder Produktionsprozesse noch die Business-Performance beeinträchtigt werden?
  • Ist es für die IT einfach, meine Arbeitsschritte für das Patchen zeitlich zu planen und zu automatisieren?
  • Kann die IT Patches, die Probleme verursachen, leicht wieder zurücknehmen?
  • Kann die IT einfach Patches testen, bevor sie diese an Server und Endbenutzer ausrollt?

Eine Anforderungsliste stellt sicher, dass ‑ egal welche automatisierten Patch-Management-Produkte Ihre Organisation konkret anschafft ‑ alle voraussichtlich nützlichen Funktionen darin enthalten sein werden. Die Anforderungsliste wird Elemente enthalten, die als obligatorisch gelten, andere wiederum werden als nicht unbedingt notwendig eingestuft. Ein Teil wird sogar als nicht passend oder nicht brauchbar aus dem Projekt verbannt. Vergessen Sie nicht, finanzielle Anforderungen in die Liste aufzunehmen, beispielsweise das Budget für die Gesamtanschaffung oder das Budget für die jährliche Wartung und den Support.

Qualifizierte Optionen identifizieren

Nachdem eine Organisation ihre Anforderungsliste von den Stakeholdern hat genehmigen lassen und verbindlich gemacht hat, kann sie damit beginnen, nach geeigneten automatisierten Patch-Management-Produkten, die nach ihrer Einschätzung die Anforderungen erfüllen, zu suchen. Der beste Ausgangspunkt für die Recherche ist sicher das Web. Darüber hinaus sollten Sie ebenfalls Ihre fünf Top-Anbieter kontaktieren, damit sie Ihnen Demoversionen ihrer automatisierten Patch-Management-Produkte zur Verfügung stellen. Achten Sie darauf, dass die Produktdemo in einer Produktionsumgebung durchgeführt wird. Verlassen Sie sich nicht auf White Papers, Hochglanzbroschüren und anderes Marketing-Material der Anbieter.

Eine Organisation sollte darauf bestehen, die Patch-Management-Software als Teil des Evaluierungsprozesses in der Praxis zu erleben.

Die Praxis kommt vor der Theorie, und eine Organisation sollte darauf bestehen, die Patch-Management-Software als Teil des Evaluierungsprozesses in der Praxis zu erleben. Zuallererst sollten Sie sich Demos von mindestens fünf der Top-Produkte auf Ihrer Wunschliste ansehen, später dann ein oder zwei der am besten passenden Produkte in einer Testumgebung installieren. Damit können Sie in der Praxis überprüfen, wie sich das Produkt und seine Funktionen im Betrieb verhalten (mehr dazu folgt weiter unten im Artikel).

Funktionalität prüfen

Wenn eine Organisation ausreichend Zeit und Mühe für das Erstellen einer Anforderungsliste aufgewendet hat, kann das Bewerten der Funktionalität der fünf Top-Kandidaten so einfach sein wie das Abhaken der entsprechenden Punkte in einer Checkliste. Es sei noch einmal darauf hingewiesen: Nehmen Sie die Versprechungen der Anbieter hinsichtlich Performance, Funktionen und Funktionalität nicht wörtlich. Achten Sie darauf, jede Software zunächst über eine Demo, später im Prozess dann über Praxistests sorgfältig zu evaluieren. Hier ist eine Liste der Funktionen, die Organisationen beim Kauf von automatisierten Patch-Management-Produkten berücksichtigen sollten:

  • Einfache Bedienbarkeit: Das ist eine der Top-Prioritäten. Wenn ein relativer Neuling die Software nicht problemlos als Out-of-the-Box-Lösung nutzen kann, ist es für die Organisation wahrscheinlich zu kompliziert, das Produkt im Regelbetrieb einzusetzen.
  • Integration in die vorhandene System-Management-Infrastruktur: Wenn eine Firma bereits eine umfassende System-Management-Suite (zum Beispiel den Microsoft System Center Configuration Manager) besitzt, prüfen Sie, ob sich das Patch-Management-Produkt Ihrer Wahl ohne Weiteres einfach in diese existierende Infrastruktur integrieren lässt. Falls ein Unternehmen schon über ein System-Management-Produkt verfügt, das andere Bereiche innerhalb der IT abdeckt, ist es in vielen Fällen am besten, die Patch-Management-Funktionen dieser Lösung zu verwenden, weil der Integrationsaufwand bereits geleistet wurde.
  • Unterstützung von allen maßgeblichen Plattformen (gegenwärtig und künftig): Stellen Sie sicher, dass das ausgewählte Produkt mit allen aktuellen IT-Infrastrukturplattformen zusammenarbeitet, einschließlich Betriebssystemen und Anwendungen. Achten Sie ebenfalls darauf, ein Produkt auszuwählen, das sich an Anforderungen anpassen kann, die momentan nicht verwendet werden, aber auf der IT-Roadmap der Organisation stehen. Dazu zählen etwa die Unterstützung für BYOD und mobile Geräte, die vielleicht künftig unterstützt werden.
  • Funktioniert das Produkt gut in der aktuellen IT-Umgebung: Es gibt keinen besseren Weg als einen praxisorientierten Machbarkeitsnachweis (Proof of Concept, POC), um zu überprüfen, ob ein Patch-Management-Tool bestimmte Anforderungen erfüllt und Computing-Plattformen unterstützt. Die meisten Anbieter von automatisiertem Patch-Management stellen für einen fest definierten POC-Zeitraum gerne nicht eingeschränkte Lizenzen zur Verfügung. Während dieser POC-Periode sollten Sie auf einen expliziten Testplan zurückgreifen können, um alle kritischen Abläufe und Funktionen zu prüfen. Falls das Produkt die Anforderungen nicht erfüllt oder übertrifft, ist es besser, dies vorab herauszufinden, anstatt zu warten, bis die Organisation ein Patch-Management-Produkt angeschafft und implementiert hat.
  • Auswirkungen auf die Performance: Endnutzer und Server-Administratoren akzeptieren generell kein Tool, das für Verzögerungen bei der Erledigung ihrer Aufgaben sorgt. Stellen Sie sicher, dass das ins Auge gefasste Patch-Management-Produkt auf allen Plattformen im Unternehmen so performant ist, dass es die Produktions- oder Endbenutzersysteme nicht spürbar negativ beeinflusst. Läuft es im Hintergrund? Kann der Anwender die Installation eines Patches gegebenenfalls zeitlich zurückstellen? Läuft der Patch-Vorgang unbeaufsichtigt, ohne dass der Benutzer eingreifen muss? Kann die Organisation die Installation von Patches verhindern, wenn ein User über eine langsame Netzwerkverbindung verfügt, beispielsweise in einem Remote-Büro oder in einem Hotelzimmer? All dies sind wesentliche Fragen, auf die Sie Antworten erhalten müssen ‑ entweder durch die Kommunikation mit Patch-Management-Anbietern oder durch POC-Tests.
  • Software-Support: Ermöglicht der Patch-Management-Anbieter einen technischen Support rund um die Uhr, der sowohl erreichbar ist (das Telefon ist besetzt) als auch sorgfältig und genau arbeitet (mein Problem wird rasch und effizient gelöst)? Rufen Sie im Rahmen von POC immer die technische Hotline des Anbieters an (nicht den Vertriebstechniker des Anbieters, der die POC-Tests betreut). Auf diese Weise stellen Sie sicher, dass der reguläre Support die Anforderungen der Organisation bezüglich zeitnaher, kompetenter Unterstützung erfüllt.

Interoperabilität und Integration evaluieren

Als Teil der Evaluierung von automatisierten Patch-Management-Produkten müssen Organisationen möglicherweise ebenfalls darauf achten, dass die infrage kommenden Produkte mit anderer Software, die bereits in ihrer IT-Umgebung läuft, interoperabel sind oder sich in die bestehenden Lösungen integrieren lassen. Wenn zum Beispiel bereits Microsofts System Center Operations Manager (SCOM) oder Symantecs Software Deployment Agent im Einsatz ist, ist es im Sinne einer natürlichen Synergie, ein entsprechendes Produkt aus dem Portfolio jedes dieser Anbieter zu evaluieren. Warum? Weil dadurch die Installation eines zusätzlichen Agents entfällt, um automatisches Patch-Management auf Ziel-PCs zu unterstützen. Wenn eine Organisation allerdings ein Standalone-Produkt für das automatisierte Patch-Management auswählt, sollte sie darauf achten, die Integration dieser Software in die vorhandene IT-Software zu testen, einschließlich Lösungen zur Softwareverteilung und zum Malware-Schutz.

Preis gegenüber Gesamtkosten abwägen

Geld ist nicht alles, aber sicher sind die finanziellen Aspekte von automatisierten Patch-Management-Produkten eine wichtige Überlegung. Wesentlich für den Erfolg ist es, sicherzustellen, dass das ausgewählte Produkt innerhalb des aktuellen Finanzbudgets für Patch-Management-Software oder innerhalb des Ausgabenbudgets für gemietete Software liegt. Eine Software auszuwählen, die außerhalb des Firmenbudgets liegt, ohne sich im Voraus der Zustimmung zu vergewissern, ist eine todsichere Methode, dass das Projekt ernsthaft in Schwierigkeiten gerät ‑ oder vielleicht sogar komplett scheitert. Berücksichtigen Sie auf jeden Fall die direkten Kosten (zum Beispiel anfängliche Lizenzierungskosten, Implementierungskosten ‑ einschließlich vom Anbieter bereitgestellte professionelle Services, sofern notwendig ‑ und fortlaufende Wartungskosten). Aber auch alle indirekten Kosten (etwa zusätzliche Schulungen für den internen Helpdesk, um Probleme beim Patch-Management zu lösen und Fragen dazu zu beantworten) sind zu beachten. Die IT und die Firmenleitung erwarten, dass alle Anschaffungen rechtzeitig abgeschlossen sind und das Budget nicht sprengen.

Versuch macht klug: Testen vor dem Kauf

Der beste Weg, um das Verhalten von bestimmten automatisierten Patch-Management-Produkten kennenzulernen, besteht darin, mit ihnen in einer Test- oder Sandbox-Umgebung zu arbeiten. In Anerkennung des Umstands, dass IT-Fachleute erst etwas glauben, wenn sie es gesehen haben, sind die meisten Patch-Management-Anbieter offen dafür, dass Sie ihre Produkte in einem Testzeitraum ausprobieren. Beachten Sie zeitliche Einschränkungen der Probierphase und achten Sie darauf, ein reproduzierbares Testverfahren von den Stakeholdern definieren und genehmigen zu lassen, bevor der Testzeitraum beginnt. Organisationen können es sich nicht erlauben, während der Evaluierungsperiode Zeit für wechselnde oder unvollständige Testkriterien zu verschwenden. Stellen Sie sicher, dass Ihnen im Testzeitraum eine vollständig funktionsfähige Version der Software zur Verfügung steht. Software-Anbieter, die es Organisationen nicht erlauben, einen Praxistest durchzuführen, sollten Sie gar nicht erst berücksichtigen.

Als Bestandteil jeder Evaluierung von automatisierten Patch-Management-Produkten sollten Sie außerdem die Effektivität von Support-Prozessen und -Mitarbeitern des Anbieters testen und beurteilen. Selbst wenn eine Organisation nur einen kurzfristigen Testzeitraum zur Verfügung hat, sollte sie dennoch die Support-Mitarbeiter des Anbieters per Telefon, E-Mail oder Chat kontaktieren. Falls es keine realen Probleme gibt, die der Support lösen soll, stellen Sie grundlegende Fragen zum Betrieb sowie zu erweiterten Funktionen. Die Prozesse für den Patch-Management-Support sollten nachvollziehbar, zeitnah und sorgfältig sein, um während der praxisnahen Evaluierungsphase den Anforderungen zu genügen.

Praxisorientierte Evaluierung mit Sandboxing

Nachdem eine Organisation verschiedene Softwareevaluierungen durchgeführt, Anforderungsmatrizen erstellt und Budgetkalkulationen zum Abschluss gebracht hat, ist es an der Zeit für eine praxisnahe Evaluierung der zwei oder drei Top-Bewerber. In einigen Situationen, etwa wenn man beabsichtigt, die Patch-Management-Komponente einer größeren Softwareplattform wie Microsofts SCOM zu nutzen, kann eine Organisation aufgrund von finanziellen und/oder operativen Vorteilen anfangs einen Praxistest nur dieses Softwarepakets durchführen. Doch völlig egal, wie sicher es ist, dass eine spezifische Software sich für die Firma eignet: Achten Sie stets darauf, den oder die Kandidaten in einer Testumgebung auszuprobieren.

Durch das Vorhandensein von günstigem On-Demand-Cloud-Hosting von Unternehmen wie Rackspace, Amazon Web Services (AWS) und Microsoft Azure gibt es einfach keine Entschuldigung, automatisierte Patch-Management-Produkte vor dem Kauf nicht zu testen. Über einen Service oder eine Software für das Disaster Recovery (DR) oder den Datenschutz einer Organisation eröffnet sich möglicherweise ein weiterer Weg, um das Patch-Management zu testen.

Viele Online-Produkte zum Datenschutz und DR unterstützen mittlerweile eine temporäre Wiederherstellung von virtuellen Maschinen und Netzwerken in einer isolierten Sandbox. Organisationen können eventuell diese Sandbox-Funktion nutzen, um die Patch-Management-Kandidaten in einer Umgebung zu testen, die kaum Unterschiede zur jeweiligen Produktionsumgebung aufweist. Darüber hinaus lässt sich diese Sandbox-Umgebung in der Regel aus der DR- oder Datenschutz-Software heraus mit nur wenigen Mausklicks schnell starten.

Automatisierte Patch-Management-Produkte richtig evaluieren und kaufen

Der Evaluierungs- und Kaufprozess für automatisierte Patch-Management-Produkte sollte ein nach anerkannten Verfahren geführtes IT-Projekt sein, einschließlich angemessener finanzieller, technischer und personeller Ressourcen, um Produktkandidaten auf geeignete und effektive Weise zu evaluieren. Am Ende dieses Beschaffungsprozesses sollte eine Implementierung stehen, die alle relevanten Anforderungen erfüllt und gleichzeitig auch aktuelle Budgetbeschränkungen und Erwartungen der Stakeholder beachtet.

Die Einhaltung der in einer Organisation bestehenden internen Richtlinien und Prozesse für das IT-Projekt-Management gewährleistet, dass Sie die optimale Lösung für das automatisierte Patch-Management finden. Unter optimaler Lösung verstehen wir ein (weitestgehend) eigenständiges Tool, das sicherstellt, dass alle relevanten Patches auf allen maßgeblichen Systemen aktuell sind, ohne dass dazu der für das Patchen zuständige IT-Experte täglich eingreifen oder die Software überwachen muss. Zum Beispiel sollte das Empfangen, Verteilen und Installieren der von Microsoft regelmäßig monatlich am sogenannten Patch Tuesday bereitgestellten Patches für seine Betriebssysteme und Anwendungen ein Prozess sein, der sich mit einem minimalen Aufwand an administrativem Eingreifen automatisieren lässt.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Nächste Schritte

Teil 1 der Artikelreiche ist eine Einführung in automatisierte Patch-Management-Software für Unternehmen

In Teil 2 behandeln wir Einsatzszenarien für automatisierte Patch-Management-Tools

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close