alphaspirit - Fotolia
Windows-Sicherheit: Beim Patchen Flash und Co. berücksichtigen
Schwachstellen in Zusatzsoftware wie Adobe Flash oder Java gehören zu den großen Sicherheitsrisiken unter Windows. Und die müssen gepatcht werden.
Adobe Reader, Adobe Flash oder auch Java oder Apples iTunes sind auf vielen Windows-Systemen installiert und manchmal unabdingbar. Aber gerade diese Softwarelösungen werden in vielen Unternehmen nicht automatisch aktualisiert. Wird die Software von Drittanbietern in Sachen Updates nicht ebenso konsequent wie Windows selbst behandelt, entsteht eine unnötig große Angriffsfläche für Hacker.
Wenn Administratoren die Windows-Systeme in ihren Unternehmen auf Schwachstellen scannen, werden sie häufig feststellen, dass bei den Drittanbieter-Lösungen meist zahlreiche Sicherheits-Updates fehlen. Manchmal über Jahre zurück.
Sicherheitsberichte wie der Verizon 2016 Data Breach Investigations Report zeigen, dass ungepatchte und anfällige Drittanbieter-Software in nahezu jedem Unternehmen ein Ziel für Angreifer ist. Auch eine Untersuchung von Digital Shadows hat gezeigt, dass beispielsweise Adobe Flash oder Oracle Java besonders häufig Ziel von Exploit-Kits sind. Ein fehlender Patch und ein Klick eines Nutzers genügen, und schon landet Ransomware oder andere Schadsoftware im Unternehmensnetzwerk. Dann sind alle anderen Sicherheitsbemühungen erst einmal hinfällig und es gilt zunächst Schadensbegrenzung zu betreiben und den ursprünglichen Zustand wieder herzustellen.
Zusatzsoftware up to date halten
Geht es um das Patchen von Drittanbieter-Software, sind die Microsoft-Lösungen WSUS oder System Center Configuration Manager in Sachen Benutzerfreundlichkeit nicht immer ein Geheimtipp. Admins sollten sich daher nicht ausschließlich auf diese Lösungen verlassen. Und auch wenn Patch-Management-Produkte anderer Hersteller, exemplarisch seien hier SolarWinds Patch Manager oder GFI LanGuard genannt, müssen Administratoren sicherstellen, dass die Update-Implementierung auch wirklich ordentlich funktioniert.
Zudem sollte überprüft werden, dass der Konfiguration keine Updates entgehen. Hierfür sollten die Endpunkte mit einem Schwachstellenscanner überprüft werden. Damit lässt sich auch sicherstellen, dass alle Updates ordentlich eingespielt wurden, denn erfahrungsgemäß klappt dies manchmal per Fernzugriff oder zentral gesteuert nicht immer einwandfrei.
Auch wenn ein Patch-Management-Tool eines Drittanbieters zum Einsatz kommt, sind WSUS und SCCM darüber hinaus geeignete Werkzeuge, um zusätzlich sicherzustellen, dass alle Updates installiert wurden.
Schwachstelle Anwender
Wenn es um das Updaten von Software geht, sollte die IT-Abteilung dies nicht den Anwendern überlassen. Selbst wenn die verwendete Lösung für das automatische Einspielen der Updates sorgt, ist eventuell ein Neustart nötig oder eine benutzerspezifische Einstellung zu tätigen. In diesen Fällen muss der Anwender mit einbezogen werden. Wenn kein Nutzereingriff erforderlich ist, sollte er beim Update-Prozess auch außen vor bleiben. Wer ein zuverlässiges Patch-Management etablieren will, sollte abseits der Windows-Updates die Drittanbieter-Software ebenso berücksichtigen. Alles andere sorgt für eine zu große Angriffsfläche.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
