DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Her­steller-Patchday — für den Anwender nur ein Patch Event unter vielen

Patchmanagement

Je nach ein­ge­setzter Software gibt es per­manent etwas zu tun. Wer dabei auf Nummer Sicher gehen möchte, muss letztlich täglich prüfen, ob es Infos zu neuen Lücken und deren Wech­sel­wir­kungen gibt. Diverse Tools können Betrof­fenen gute Dienste leisten.

 

Allein die Mel­dungen der letzten Tage zeigen ein­drucksvoll, wie viele Sicher­heits­lücken in einem ein­zigen Monat gefunden werden. Pardon, öffentlich bekannt werden; über die Dun­kel­ziffer lässt sich trefflich streiten, da kein Mensch absehen kann, wie viele es tat­sächlich sind. Und auch, wie viele davon aktiv aus­ge­nutzt werden – ohne dass dies bemerkt wird.

Bei denen, die bekannt werden, macht es einen wich­tigen Unter­schied, ob diese ver­traulich an den Her­steller gemeldet wurden oder ob bereits ein Exploit dafür exis­tiert, also ein publi­zierter bzw. durch­ge­führter Angriff auf die beschrie­benen Sicher­heits­lücken. Für die einen werden Sicher­heits­up­dates vor­be­reitet, bei anderen, so genannten Zero-Day-Exploits, haben die Her­steller nicht so viel Glück. Zero steht für die Zeit, die dem Her­steller zur Ver­fügung steht um auf eine Lücke zu reagieren, für die bereits Angriffs­me­thoden bestehen.

In den ver­gangen Tage hat es zunächst mal wieder Microsoft erwischt. Eine Lücke, für die nur ein Work­around zur Ver­fügung steht, aber noch kein Patch. Pech für den Anwender aber tröstlich für das Unter­nehmen ist, dass auch andere Soft­ware­her­steller in gleicher Weise betroffen sind. Bei ebenso beliebten Pro­gramme wie Firefox, Thun­derbird & SeaM­onkey wurden einen Tag nach dem MS-Patchday ebenso Patches für kri­tische Lücken bereit­ge­stellt. Auch Adobe hat für Flash, den Reader und Acrobat ein großes Update durch­ge­führt, bei dem diverse kri­tische Lücken geschlossen wurden.

Wer seit län­gerem die Adobe Reader-Alter­­native „Foxit Reader“ ein­setzt, um nicht den regel­mäßig durch Sicher­heits­lücken im Gespräch befind­lichen Adobe Reader ein­setzen zu müssen, hat nun aber ebenso ein großes Problem mit einer kri­ti­schen Schwach­stelle, für die noch kein Patch vor­handen ist. Das heikle daran ist das Plug-in, welches bei der Instal­lation im jewei­ligen Browser (Chrome, Firefox, Opera und Safari) mit instal­liert wird. Da noch kein Patch vor­handen ist, kann man sich nur schützen, wenn dieses im Browser manuell deak­ti­viert wird.

Eine echte Hilfe im pri­vaten Bereich ist der für Pri­vat­per­sonen kos­tenlose Secunia Per­sonal Software Inspector. Im Unter­neh­mensnetz sollte dagegen auf Tools zurück­ge­griffen werden, deren Funk­ti­ons­umfang auf den pro­fes­sio­nellen Einsatz aus­gelegt ist, also die Hard- und Software inven­ta­ri­sieren und auch die Ver­si­ons­stände instal­lierter Software über­wachen. Denn nicht immer werden auto­ma­ti­sierte Updates ange­boten; und Work­arounds müssen ohnehin z.T. manuell durch­ge­führt werden. Darüber hinaus sollten diese Tools mit einem Security- und Netz­werk­scanner ergänzt werden, bzw. diesen bereits beinhalten.

Ergän­zender Tipp:  Das Sicher­heits­ba­ro­meter infor­miert KMU über die aktuelle Gefähr­dungslage im Internet. Es zeigt den gene­rellen Sicher­heits­status im Internet und lässt auf einen Blick erkennen, ob neue Software-Updates ver­fügbar sind.

Bild:  © Albrecht E. Arnold / pixelio.de

5 Kommentare zu Hersteller-Patchday - für den Anwender nur ein Patch Event unter vielen

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Feuchter, DATEV eG

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unter­schied­liche DATEV IT-Lösungen. Nach seinem Studium zum Infor­matik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kom­mu­ni­kation zu Sicher­heits­themen und die über­grei­fende Ver­marktung der ent­spre­chenden Sicher­heits­pro­dukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicher­heits­themen im Unter­neh­mens­alltag” tätig; seine Spe­zia­lität sind Vor­träge mit Live-Demos und –Hacking.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.