Gefähr­liche Irr­tümer

Die Vielzahl von Sicher­heits­lücken in Soft- und Hardware sowie Betriebs­sys­temen sind ein Alb­traum für jeden IT-Ver­­an­t­­wor­t­­lichen in einem Unter­nehmen. Eine neue Blog-Serie zeigt auf, wie ein effek­tives Patch­ma­nagement helfen kann.

Eine zen­trale Firewall und ein immer aktu­eller Viren­scanner und fertig ist die IT-Security für mein Unter­nehmen. Natürlich hab ich bei der Auswahl der Pro­dukte ent­spre­chende Test und Bewer­tungen berück­sichtigt, um eine wirklich gute Auswahl zu treffen.

Doch bei dieser Betrachtung fehlt ein ent­schei­dender Aspekt: das regel­mäßige Aktua­li­sieren der instal­lierten Software auf den Sys­temen. Oft wird unter­schätzt, dass heute die Viren­scanner allein durch die schiere Menge an neuer Malware – und wir sprechen hier von mehr als 50.000 pro Tag – nicht mehr alles finden können. Selbst durch neue, ergän­zende Funk­tionen wie Ver­hal­tens­analyse und Cloud­funk­tionen nicht. Mit immer neuen Vari­anten ihrer Schäd­linge ver­suchen die Angreifer meistens schon bekannte Sicher­heits­lücken aus­zu­nutzen.

Über­wiegend fehlt noch das Bewusstsein dafür, wie wichtig schnelle Sicher­heits-Updates für Software und ‑hardware sind. Und: Wer kennt schon die kom­plette im Unter­nehmen vor­handene Soft- und Hardware? Jeder Bestandteil dieses Kon­glo­merats ist ein poten­zi­eller Risi­ko­faktor.

Wie schließt man Sicher­heits­lücken?

Da zahl­reiche Software-Pro­­­dukte ein­ge­setzt werden, ist es schwierig, einen Über­blick sowohl über die neu­esten Angriffs­typen, als auch über die zur Ver­fügung ste­henden Sicher­heits-Updates zu haben. Manche Pro­gramme ent­halten eine auto­ma­tische Update-Funktion. Häufig muss jedoch jeder Anwender seine IT eigen­ständig auf dem neu­esten Stand halten.

Besonders große Angriffs­flächen bieten Schwach­stellen in Stan­dard­software wie dem Betriebs­system oder dem Browser. Im Betriebs­system stehen vor allem Funk­tionen, die aus dem Internet erreichbar sind im Fokus. Durch die Zunahme von Cloud-Diensten, Web­ser­vices und ‑anwen­dungen ist der Browser eine ver­gleichbare Ziel­scheibe. Um Fehler im Browser aus­zu­nutzen, werden Inter­net­seiten mit besonders prä­pa­rierten Pro­grammen ver­sehen.  Aber auch E‑Mail-Systeme sind betroffen, indem E‑Mails ver­sendet werden, die mit ent­spre­chenden Pro­gramm­funk­tio­na­li­täten ver­sehen sind. Ebenso können Office-Pro­­­gramme Dateien und Web­sites im Internet öffnen, wie andere Pro­gramme PDF-Dateien, Ani­ma­tionen, Videos oder Musik­da­teien. Einige der Sicher­heits­lücken ermög­lichen es den Schad­pro­grammen, ihre Funk­tionen im Hin­ter­grund des Browsers unbe­merkt aus­zu­führen.

Wer eine Inter­net­seite betreibt, muss sich auch um die Sicher­heits­lücken der Prä­­sen­­ta­­tions- bezie­hungs­weise Content-Management-Systeme kümmern, wenn er sich nicht wie unzählige andere dau­erhaft einen Platz in den Auf­lis­tungen zu Daten­schutz­ver­stößen oder geka­perten Inter­net­auf­tritten wie­der­finden möchte.

Auch Sicher­heits­pro­gramme werden ange­griffen. Vor allem hier sollte darauf geachtet werden, dass Schwach­stellen und Sicher­heits­lücken umgehend geschlossen werden, da Cyber­kri­mi­nelle in der Regel her­vor­ragend infor­miert sind. Eine Funktion „Auto­ma­ti­sches Update“ leistet in diesem Fall gute Dienste.

Was Microsoft-Updates abdecken

Microsoft-Updates aktua­li­sieren vor allem das Betriebs­system und einige betriebs­sys­temnahe Anwen­dungen. Zudem können alle anderen Soft­ware­an­gebote, allen voran der Windows Internet Explorer, auto­ma­tisch mit Updates ver­sorgt werden. Die meisten Unter­nehmen kennen die monat­lichen Patch­up­dates von Microsoft: An jedem zweiten Dienstag eines Monats gibt Microsoft seine aktu­ellen Sicher­heits- und Soft­ware­patches heraus all­gemein auch als „Patch-Dienstag“ bekannt.

Auf jedem PC sind diverse Pro­gramme ver­schie­denster Her­steller instal­liert. Zwei Drittel aller Schwach­stellen finden sich bei Pro­grammen wie bei­spiels­weise Adobe Flash Player oder Runtime-Software (Lauf­zeit­kom­po­nente für weitere Pro­gramme) wie Java. Hier den Über­blick zu behalten, ist eine Her­aus­for­derung für jeden Admi­nis­trator.

Fle­xible Arbeits­plätze und mobile Geräte erhöhen zudem das Risiko, dass beim zen­tralen Update Smart­phones, Tablets und Laptops nicht ange­schlossen oder ver­gessen werden. Es muss daher gewähr­leistet sein, dass auch diese mit den nötigen Sicher­heits-Updates ver­sorgt werden.

Der richtige Zeit­punkt

Patches von Microsoft und auch von allen anderen Her­stellern können prin­zi­piell bedarfs­ori­en­tiert jederzeit her­aus­ge­geben werden. Wenn ein Software-Her­steller eine große Bedrohung sieht, wird er den Patch sofort her­aus­geben und nicht bis zum nächsten regu­lären Patch­termin warten. Aller­dings hält nicht jede Software eine auto­ma­tische Update-Funktion bereit. So ist es durch die vielen und regel­mä­ßigen Aktua­li­sie­rungen sehr zeit­auf­wendig und feh­ler­an­fällig, die IT immer auf dem neu­esten Stand zu halten. Unter­nehmen können daher nicht grund­sätzlich sicher sein, dass sie auch wirklich alle aktu­ellen Patches, die für ihr Netzwerk und ihre Systeme erfor­derlich sind, instal­liert haben.

Patch­ma­nagement

Noch umfang­reicher wird das Patch­ma­nagement mit der wach­senden Anzahl an Hardware und ihren Treibern oder ihrer funk­ti­ons­un­ter­stüt­zenden Software, über die auch Schad­software auf den Rechner gelangen kann. Bei Hardware denkt man zunächst an die offen­sicht­lichen Geräte wie Server, Desk­top­com­puter und Note­books, die mit Patches gesi­chert werden. Betroffen sind jedoch jeg­liche Art mobiler Geräte wie bei­spiels­weise Smart­phones, Tablets oder mobile Daten­träger.

Für die zahl­reichen Updates gibt es unter­stüt­zende Software. Suchen Sie im Web nach „patch­ma­nagement software“, um einige Anbieter zu finden. Die Tools beinhalten eine Sammlung der gän­gigsten Pro­gramme und scannen das System auf instal­lierte Software. Die Updates der gelis­teten Pro­gramme können dann bequem per Maus­klick oder auto­ma­ti­siert durch­ge­führt werden. Auf diese Weise wird zumindest ein ele­men­tarer Grund­schutz erreicht.

Das darf jedoch nicht darüber hin­weg­täu­schen, dass grund­sätzlich jede instal­lierte Software über das Internet auf Patches unter­sucht wird. Denn Cyber-Kri­­mi­­nelle nutzen diese Tech­niken genauso, um gezielt Malware auf diese Lücken hin zu pro­gram­mieren. Deshalb sollte im gesamten Netzwerk eine Bestands­auf­nahme durch­ge­führt werden, also eine Liste der ins­gesamt instal­lierten Software erstellt werden. Nur so ist es möglich, alles regel­mäßig zu patchen, Pro­gramm­hy­giene zu betreiben und die Systeme zu „härten“, also nur die Pro­gramme zuzu­lassen, die für die Arbeit benötigt werden. Damit wird die mög­liche Angriffs­fläche spürbar ver­ringert.

Für größere Netz­werke emp­fiehlt es sich daher eine Client-Management-Software ein­zu­setzen.  Diese über­nimmt den Inven­ta­ri­sie­rungs­prozess der netzweit instal­lierten Software und kann bei Bedarf zentral gesteuert Patches aus­rollen. Einige Her­steller bieten darüber hinaus, mög­lichst bald nach Erscheinen eines Patches, vor­kon­fi­gu­rierte Pakete für eine Vielzahl von Software an. Damit ent­fällt der auf­wändige manuelle Prozess der Kon­trolle auf neu ver­fügbare Patches.

Fertig?

Ok, jetzt habe ich alles perfekt umge­setzt. Ich weiß, welche Software bei uns ein­ge­setzt wird, werde infor­miert, wenn es ein Update gibt und habe auch ein Ver­fahren gefunden, wie ich bei Software, die sich nicht auto­ma­tisch selbst aktua­li­siert, schnell ein Update ein­spielen kann. Ein per­fektes Patch­ma­nagement, oder?

Fast, was noch beim Thema Patch­ma­nagement zu bedenken ist, kommt im zweiten Teil der Reihe.

Bild: VRD / Fotolia.com

Bisher erschienen in der Reihe “Patch­ma­nagement”:

Teil 2: Span­nungsfeld Sta­­bi­­lität-Sicherheit-Drin­g­­lichkeit

Teil 3: Tipps und Tricks