icetray - Fotolia
Das Patch-Management im Unternehmen optimieren
Zeitnah ausgerollte Sicherheits-Updates sind eigentlich die Grundlage jeglicher Security-Strategie. In der Praxis sind die Abläufe meist aber alles andere als eingespielt.
Das Patch-Management ist zweifelsohne eines der wichtigsten Elemente, um dafür zu sorgen, dass die mit dem Netzwerk verbundenen Systeme möglichst sicher sind. Und um somit im Unternehmen insgesamt möglichst wenige Angriffsflächen für Schadsoftware zu bieten.
Je nach Unternehmensstruktur und -größe liegt das Patch-Management manchmal in unterschiedlichen Verantwortungsbereichen. Typischerweise kümmert sich die IT-Abteilung, die mit der Wartung der Systeme betraut ist, auch um das Einspielen der Updates. In einigen Unternehmen ist das Patch-Management auch bei den Sicherheitsteams aufgehängt, erfahrungsgemäß eher keine gute Herangehensweise.
Zum Begriff Wartung im Zusammenhang mit Patches und Updates gehören üblicherweise folgende Bestandteile:
- die Beschaffung der Patches;
- das Testen der Updates;
- die Dokumentation der Tests zur Genehmigung; sowie
- die Installation der Patches.
Damit das Patch-Management funktioniert, sind Systeme vonnöten, die sich um die Erkennung der entsprechenden Update-Empfänger im Netzwerk kümmern, sowie ein öffentliches oder geschlossenes Repository, aus dem die Updates bezogen werden können.
Typische Probleme beim Patchen
Dennoch ist das Patch-Management in vielen Unternehmen offensichtlich problematisch, was insbesondere zu Dissonanzen zwischen Sicherheitsverantwortlichen und IT-Infrastrukturteams sorgt.
Aus der Sicht des CISO stellt sich die Frage, wie er möglichst effektiv mit dem Patch-Management-Team zusammenarbeitet, um alle Systeme zeitnah mit den Updates zu versorgen und diese auf den neuesten Stand zu bringen. Da gilt es zu klären, wie ein entsprechender Patch-Management-Ablauf aussehen könnte und wer die Beteiligten sind. Zudem muss geklärt werden, wie Patches auf der Grundlage von Risiken zu priorisieren sind.
Das Patch-Management-Team, das sich um die Infrastruktur kümmert, hat da gleich meist mit mehreren Faktoren zu kämpfen. Häufig wissen die Kollegen schlicht nicht, wo sie mit den Updates anfangen sollen, oder ihnen stehen gar nicht alle Updates zur Verfügung, die sie bereitstellen könnten. In vielen Fällen fehlen ihnen auch wichtige Informationen, um einen nachhaltigen Patch-Management-Prozess aufsetzen zu können.
Das Patch-Management optimieren
Aus den genannten Gründen ist eine beiderseitige Kommunikation für ein funktionierendes Patch-Management sehr wichtig. Ein wirkliche Bewertung inklusiver aller Risiken kann nur erfolgen, wenn man die Systeme technisch kennt und zudem weiß, welche Geschäftsprozesse und Daten davon betroffen sind.
Dann gilt es, die eigenen Patch-Standards in die aktuelle IT-Infrastruktur und die Geschäftsprozesse zu integrieren. Patch-Management ist keine Einheitslösung, die in allen Fällen immer gleich funktioniert. Ohne ein detailliertes Verständnis, wie die einzelnen Systeme miteinander verknüpft sind, wie sich dabei die Daten bewegen und welche Auswirkungen dies auf eine risikobasierte Betrachtung hat, wird sich ein Patch-Management nicht optimieren lassen. In solchen Fällen werden alle Systeme nach dem gleichen Risikoniveau eingestuft und jeder einzelne, freigegebene Patch manuell angewendet.
Und dann ist es schnell passiert, dass die fürs Patchen verantwortlichen Mitarbeiter sich in Testzyklen verheddern und ein nicht ganz idealer Patch in eine produktive Umgebung ausgerollt wird. Dies kann sehr schnell für massive Unterbrechungen des Geschäftsbetriebs sorgen, deren Ursachen dann CISOs wie IT-Teams der Geschäftsführung erklären müssen. Das Ausrollen von Patches einzustellen, ist naturgemäß keine Alternative.
Ordentliches Patch-Management ist unabdingbar, um Unternehmen vor Bedrohungen und ungebetenen Gästen im Netzwerk zu schützen. Zudem sorgen Updates im Idealfall dafür, dass die Systeme stabil und funktionstüchtig bleiben. Probleme gehören allerdings auch zum Update-Alltag, deshalb ist es unerlässlich, dass Fachabteilungen und IT hier zusammenarbeiten. Und genau aus diesen Gründen ist es wichtig, vor dem Erstellen eines Patch-Management-Plans so viele Informationen wie möglich von allen Beteiligten einzuholen.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
