LackyVis - stock.adobe.com
Mit diesen zehn Tipps klappt es mit dem Patch-Management
Patches sind ein zweischneidiges Schwert: sie halten IT-Systeme sicher, können aber selbst Probleme verursachen. Wir erklären, wie Sie Patches verwalten, um Risiken zu reduzieren.
Unter Patch-Management versteht man den Prozess der Beschaffung von Software-Updates für Betriebssysteme und Anwendungen und deren Bereitstellung, um Sicherheitslücken zu schließen, Fehler zu beheben oder neue Funktionen hinzuzufügen. Das klingt zunächst einfach, doch wenn man die Zahl der Plattformen, Software und Hardware im Unternehmen bedenkt, wird schnell deutlich, wie kompliziert die Koordination von Patches eigentlich ist.
Wir haben 10 Schritte für Sie zusammengefasst, mit denen Sie den Patch-Managementprozess in den Griff bekommen und dessen Effizienz erhöhen.
1. Grundinventarisierung vornehmen
Der erste Schritt des Prozesses ist es, ein aktuelles Basisinventar aller Ihrer Produktionssysteme zu erstellen. Diese Bestandsaufnahme muss umfassend sein und sollte mindestens alle Betriebssysteme und Anwendungen einschließen, die Sie im Einsatz haben.
So wie Softwarehersteller Updates herausgeben, um Fehler und bekannte Schwachstellen zu beheben, veröffentlichen auch Hardwarehersteller regelmäßig Firmware-Updates. Sie müssen also diese ebenfalls in Ihre Bestandsaufnahme miteinbeziehen. Damit schaffen Sie die Grundlage für die Verwaltung von Patches.
Durch diese Basisinventarisierung Ihrer Produktionssysteme sind Sie in der Lage, den Status Ihrer Patches besser zu beurteilen. Diese Bestandsaufnahme können Sie manuell durchführen oder – in größeren Unternehmen – dafür eine automatisierte Patch-Managementsoftware verwenden.
2. Standards für das System festlegen
Die Standardisierung ist ein wichtiger Bestandteil des Patch-Managementprozesses. Wenn unterschiedliche Versionen derselben Anwendung in der Produktion laufen, steigen die Supportkosten und die Sicherheitsrisiken. Das Gleiche gilt für mehrere Versionen eines Betriebssystems. Sie sollten es sich also zum Ziel setzen, die Version jedes Betriebssystems und jeder Anwendung zu bestimmen, und einen Plan erstellen, um diese Versionen anzugleichen.
Der Prozess umfasst manchmal mehr als nur ein Upgrade auf die neueste Version. Möglicherweise gibt es Abhängigkeiten, die Sie anpassen müssen, damit sie zum neuen Patch passen – oft gibt es ja einen Grund, wieso das Update vermieden wurde. In anderen Fällen macht Ihnen eine Hardwarekompatibilität einen Strich durch die Rechnung. Für Windows 11 ist beispielsweise ein Trusted Platform Module 2.0 erforderlich, und nicht jedes System, auf dem Windows 10 läuft, unterstützt Windows 11. Sie müssten daher Ihren Hardwarebestand genau prüfen, wenn Sie Ihr ganzes Unternehmen zu Windows 11 migrieren möchten.
3. Assets nach Risiko und Priorität kategorisieren
In den ersten Phasen des Patch-Managementprozesses werden Sie in der Regel eine Reihe von Upgrades und Patches identifizieren, die ausstehen. Es wäre zu riskant, diese nun auf einen Schlag zu starten. Stattdessen sollten Sie methodisch vorgehen.
Das bedeutet, dass Sie Schwachstellen bewerten und dann die Patches je nach Risiko priorisieren. Die überwiegende Mehrheit der Patches zielt darauf ab, Sicherheitsprobleme zu beheben, doch nicht alle sind gleich schwerwiegend. Einige sind eher unbedeutend, während andere kritisch sind. Sie sollten die kritischen Aktualisierungen logischerweise zuerst installieren.
4. Testlabor einrichten
Patches sollen Probleme lösen – manchmal verursachen sie diese aber auch. Bevor Sie einen Patch in Ihrer Produktionsumgebung anwenden, sollten Sie ihn in einer Laborumgebung gründlich testen. Sie müssen feststellen, ob er in Ihrer Umgebung fehlerfrei läuft.
Natürlich hat der Hersteller in der Regel den Patch selbst geprüft – aber unter großem Zeitdruck und nicht in der gleichen Umgebung, wie Sie. Deshalb ist es dringend notwendig, dass Sie das selbst nochmal in Ruhe machen.
5. Patches in der Umgebung testen
Wenn Sie einen Patch in Ihrer Laborumgebung testen, ist es wichtig, dass Ihr Sicherheitsteam bestätigt, dass der Patch stabil ist und nicht abstürzt, den Fehler wirklich behebt und auch keine neuen Sicherheitslücken reißt.
Legen Sie fest, wie lange Patches in der Laborumgebung bleiben sollen. Wägen Sie genau ab zwischen dem Risiko, das von Problemen mit dem Patch in Ihrer Umgebung verursacht werden kann und dem Risiko, das von der zugehörigen Sicherheitslücke ausgeht.
6. Informationen über Software-Patches, Sicherheitslücken und Tests sammeln
Nach Abschluss der Software-Testphase sollte Ihr Sicherheitsteam eine Liste der getesteten Patches, der von diesen Patches behobenen Schwachstellen und der Testergebnisse erstellen. Anhand dieses Berichtes entscheiden Sie dann, ob der Testprozess abgeschlossen ist, und geben Empfehlungen an die für die Bereitstellung der Patches zuständigen Personen.
7. Endpunkte identifizieren
Der nächste Schritt ist es, die Endpunkte zu bestimmen, die einen Patch brauchen. Eine gute Patch-Management-Anwendung hilft Ihnen dabei, den Überblick über die Software zu behalten, und auf welchem Endpunkt sie laufen.
Auf diese Weise können Sie dann nach verschiedenen Kriterien suchen und filtern, um eine Liste der Systeme zu erhalten, die einen bestimmten Patch benötigen
8. Patches überprüfen, genehmigen und einschränken
An diesem Punkt ist ein formeller Überprüfungsprozess erforderlich, bei dem die für die Softwareverwaltung zuständigen Personen den bereitzustellenden Patch, die Ergebnisse des Testprozesses und die Liste der Endpunkte, die den Patch vorläufig erhalten sollen, prüfen. Anhand dieser Informationen entscheiden Sie, ob Sie den Patch-Bereitstellungsprozess genehmigen.
Wenn das Team beschließt, einen bestimmten Patch nicht zu installieren, muss es die Patch-Managementsoftware so konfigurieren, dass es ihn blockiert.
9. Pilotinstallation mit einer Auswahl von Patches
Obwohl eines der Hauptziele des Patch-Managementprozesses darin besteht, eine bestimmte Softwareversion als Standard durchzusetzen, führen nur wenige Unternehmen die Patches für alle Benutzer gleichzeitig ein.
Stattdessen setzen viele auf eine Pilotimplementierung, bei der eine ausgewählte Benutzergruppe als erstes die Patches erhält, bevor diese unternehmensweit ausgerollt werden. Das dient als letzter Test, ob der Patch tatsächlich sicher für den Produktionseinsatz ist. Sie bekommen eine finale Chance, etwaige Probleme zu erkennen, die bei den Labortests nicht aufgetaucht sind.
10. Systeme vor und nach dem Patching dokumentieren
Last but not least machen Sie sich an die Dokumentation. Es ist wichtig, den Zustand Ihrer Systeme sowohl vor als auch nach dem Aufspielen eines Patches genau zu beschreiben. Wenn später Probleme auftreten, lässt sich auf diese Weise leichter feststellen, ob und welcher Patch diese verursacht hat.
Fazit
Wenn Sie diesen Prozess sorgfältig durchführen, profitieren Sie von den Vorteilen von Patches und vermeiden zeitgleich viele der mit ihnen verbundenen Risiken.
Mit einem gut geplanten Prozess werden Ihre Systeme über die neuesten Funktionen verfügen und weitgehend frei von Fehlern und Sicherheitslücken sein. Außerdem haben Ihre IT- und Sicherheitsteams die Gewissheit, dass alles vorhersehbar und relativ stressfrei abläuft.
