Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Gefährliche Irrtümer
Die Vielzahl von Sicherheitslücken in Soft- und Hardware sowie Betriebssystemen sind ein Albtraum für jeden IT-Verantwortlichen in einem Unternehmen. Eine neue Blog-Serie zeigt auf, wie ein effektives Patchmanagement helfen kann.
Eine zentrale Firewall und ein immer aktueller Virenscanner und fertig ist die IT-Security für mein Unternehmen. Natürlich hab ich bei der Auswahl der Produkte entsprechende Test und Bewertungen berücksichtigt, um eine wirklich gute Auswahl zu treffen.
Doch bei dieser Betrachtung fehlt ein entscheidender Aspekt: das regelmäßige Aktualisieren der installierten Software auf den Systemen. Oft wird unterschätzt, dass heute die Virenscanner allein durch die schiere Menge an neuer Malware – und wir sprechen hier von mehr als 50.000 pro Tag – nicht mehr alles finden können. Selbst durch neue, ergänzende Funktionen wie Verhaltensanalyse und Cloudfunktionen nicht. Mit immer neuen Varianten ihrer Schädlinge versuchen die Angreifer meistens schon bekannte Sicherheitslücken auszunutzen.
Überwiegend fehlt noch das Bewusstsein dafür, wie wichtig schnelle Sicherheits-Updates für Software und ‑hardware sind. Und: Wer kennt schon die komplette im Unternehmen vorhandene Soft- und Hardware? Jeder Bestandteil dieses Konglomerats ist ein potenzieller Risikofaktor.
Wie schließt man Sicherheitslücken?
Da zahlreiche Software-Produkte eingesetzt werden, ist es schwierig, einen Überblick sowohl über die neuesten Angriffstypen, als auch über die zur Verfügung stehenden Sicherheits-Updates zu haben. Manche Programme enthalten eine automatische Update-Funktion. Häufig muss jedoch jeder Anwender seine IT eigenständig auf dem neuesten Stand halten.
Besonders große Angriffsflächen bieten Schwachstellen in Standardsoftware wie dem Betriebssystem oder dem Browser. Im Betriebssystem stehen vor allem Funktionen, die aus dem Internet erreichbar sind im Fokus. Durch die Zunahme von Cloud-Diensten, Webservices und ‑anwendungen ist der Browser eine vergleichbare Zielscheibe. Um Fehler im Browser auszunutzen, werden Internetseiten mit besonders präparierten Programmen versehen. Aber auch E‑Mail-Systeme sind betroffen, indem E‑Mails versendet werden, die mit entsprechenden Programmfunktionalitäten versehen sind. Ebenso können Office-Programme Dateien und Websites im Internet öffnen, wie andere Programme PDF-Dateien, Animationen, Videos oder Musikdateien. Einige der Sicherheitslücken ermöglichen es den Schadprogrammen, ihre Funktionen im Hintergrund des Browsers unbemerkt auszuführen.
Wer eine Internetseite betreibt, muss sich auch um die Sicherheitslücken der Präsentations- beziehungsweise Content-Management-Systeme kümmern, wenn er sich nicht wie unzählige andere dauerhaft einen Platz in den Auflistungen zu Datenschutzverstößen oder gekaperten Internetauftritten wiederfinden möchte.
Auch Sicherheitsprogramme werden angegriffen. Vor allem hier sollte darauf geachtet werden, dass Schwachstellen und Sicherheitslücken umgehend geschlossen werden, da Cyberkriminelle in der Regel hervorragend informiert sind. Eine Funktion „Automatisches Update“ leistet in diesem Fall gute Dienste.
Was Microsoft-Updates abdecken
Microsoft-Updates aktualisieren vor allem das Betriebssystem und einige betriebssystemnahe Anwendungen. Zudem können alle anderen Softwareangebote, allen voran der Windows Internet Explorer, automatisch mit Updates versorgt werden. Die meisten Unternehmen kennen die monatlichen Patchupdates von Microsoft: An jedem zweiten Dienstag eines Monats gibt Microsoft seine aktuellen Sicherheits- und Softwarepatches heraus allgemein auch als „Patch-Dienstag“ bekannt.
Auf jedem PC sind diverse Programme verschiedenster Hersteller installiert. Zwei Drittel aller Schwachstellen finden sich bei Programmen wie beispielsweise Adobe Flash Player oder Runtime-Software (Laufzeitkomponente für weitere Programme) wie Java. Hier den Überblick zu behalten, ist eine Herausforderung für jeden Administrator.
Flexible Arbeitsplätze und mobile Geräte erhöhen zudem das Risiko, dass beim zentralen Update Smartphones, Tablets und Laptops nicht angeschlossen oder vergessen werden. Es muss daher gewährleistet sein, dass auch diese mit den nötigen Sicherheits-Updates versorgt werden.
Der richtige Zeitpunkt
Patches von Microsoft und auch von allen anderen Herstellern können prinzipiell bedarfsorientiert jederzeit herausgegeben werden. Wenn ein Software-Hersteller eine große Bedrohung sieht, wird er den Patch sofort herausgeben und nicht bis zum nächsten regulären Patchtermin warten. Allerdings hält nicht jede Software eine automatische Update-Funktion bereit. So ist es durch die vielen und regelmäßigen Aktualisierungen sehr zeitaufwendig und fehleranfällig, die IT immer auf dem neuesten Stand zu halten. Unternehmen können daher nicht grundsätzlich sicher sein, dass sie auch wirklich alle aktuellen Patches, die für ihr Netzwerk und ihre Systeme erforderlich sind, installiert haben.
Patchmanagement
Noch umfangreicher wird das Patchmanagement mit der wachsenden Anzahl an Hardware und ihren Treibern oder ihrer funktionsunterstützenden Software, über die auch Schadsoftware auf den Rechner gelangen kann. Bei Hardware denkt man zunächst an die offensichtlichen Geräte wie Server, Desktopcomputer und Notebooks, die mit Patches gesichert werden. Betroffen sind jedoch jegliche Art mobiler Geräte wie beispielsweise Smartphones, Tablets oder mobile Datenträger.
Für die zahlreichen Updates gibt es unterstützende Software. Suchen Sie im Web nach „patchmanagement software“, um einige Anbieter zu finden. Die Tools beinhalten eine Sammlung der gängigsten Programme und scannen das System auf installierte Software. Die Updates der gelisteten Programme können dann bequem per Mausklick oder automatisiert durchgeführt werden. Auf diese Weise wird zumindest ein elementarer Grundschutz erreicht.
Das darf jedoch nicht darüber hinwegtäuschen, dass grundsätzlich jede installierte Software über das Internet auf Patches untersucht wird. Denn Cyber-Kriminelle nutzen diese Techniken genauso, um gezielt Malware auf diese Lücken hin zu programmieren. Deshalb sollte im gesamten Netzwerk eine Bestandsaufnahme durchgeführt werden, also eine Liste der insgesamt installierten Software erstellt werden. Nur so ist es möglich, alles regelmäßig zu patchen, Programmhygiene zu betreiben und die Systeme zu „härten“, also nur die Programme zuzulassen, die für die Arbeit benötigt werden. Damit wird die mögliche Angriffsfläche spürbar verringert.
Für größere Netzwerke empfiehlt es sich daher eine Client-Management-Software einzusetzen. Diese übernimmt den Inventarisierungsprozess der netzweit installierten Software und kann bei Bedarf zentral gesteuert Patches ausrollen. Einige Hersteller bieten darüber hinaus, möglichst bald nach Erscheinen eines Patches, vorkonfigurierte Pakete für eine Vielzahl von Software an. Damit entfällt der aufwändige manuelle Prozess der Kontrolle auf neu verfügbare Patches.
Fertig?
Ok, jetzt habe ich alles perfekt umgesetzt. Ich weiß, welche Software bei uns eingesetzt wird, werde informiert, wenn es ein Update gibt und habe auch ein Verfahren gefunden, wie ich bei Software, die sich nicht automatisch selbst aktualisiert, schnell ein Update einspielen kann. Ein perfektes Patchmanagement, oder?
Fast, was noch beim Thema Patchmanagement zu bedenken ist, kommt im zweiten Teil der Reihe.
Bild: VRD / Fotolia.com
Bisher erschienen in der Reihe “Patchmanagement”:
Teil 2: Spannungsfeld Stabilität-Sicherheit-Dringlichkeit
Teil 3: Tipps und Tricks

Seit 2001 bei der DATEV eG. Angefangen mit der Entwicklung von Webanwendungen verlagerte sich sein Schwerpunkt zunehmend zum Thema IT-Security. 2011 wechselte er dann konsequenterweise in die IT-Security und kümmert sich nun um Informationssicherheit des Unternehmens.

Neueste Kommentare