DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Span­nungsfeld Sta­­bi­­lität-Sicherheit-Drin­g­­lichkeit

Patchmanagement Teil 2

Die Vielzahl von Sicher­heits­lücken in Soft- und Hardware sowie Betriebs­sys­temen ist ein Alb­traum für alle IT-Ver­­an­t­­wor­t­­lichen in einem Unter­nehmen. Eine neue Blog-Serie zeigt, wie effek­tives Patch­ma­nagement helfen kann.

 

Im ersten Teil der Bei­trags­serie ging es darum, eine Basis für ein funk­tio­nie­rendes Patch­ma­nagement zu schaffen:

Ich weiß nun, welche Software auf welchen Rechnern instal­liert ist, kenne Quellen, die mich aktiv über Sicher­heits­lücken infor­mieren und kann daher gezielt nach Patches ein­zelner Her­steller suchen und sie schnellst­möglich instal­lieren. Oder sollte ich das etwa nicht tun?

Sta­bi­lität versus Sicherheit

Getreu dem Motto „Never change a running system“ stellt jede Ver­än­derung an einem IT-System eine poten­zielle Bedrohung für dessen Sta­bi­lität dar. Auch Patches bergen die Gefahr, dass nicht nur Fehler behoben, sondern auch neue ein­ge­führt werden.

Nicht alle Patches lassen sich dann ohne Pro­bleme wieder deinstal­lieren. Steht ein ein­zelner PC vor­über­gehend nicht zur Ver­fügung, kann das tole­rierbar sein. Fällt jedoch eine auf fast allen PCs häufig genutzte Software aus (z. B. ein Mail-Pro­­­gramm), können schnell wichtige Arbeits­pro­zesse betroffen sein.

Noch kri­ti­scher sind zen­trale Ser­ver­systeme, wie bei­spiels­weise der zen­trale Anmel­de­server. Deshalb ist es emp­feh­lenswert, im Vorfeld ein Test­ver­fahren fest­zu­legen, um das Risiko eines Aus­falls zu mini­mieren.

Alles zur rich­tigen Zeit

Für kri­tische Server kann ein eigenes Test­umfeld auf­gebaut werden, in dem nach dem Ein­spielen des Patches die wich­tigsten Ser­ver­funk­tionen kurz getestet werden.
Sofern ein zweiter Server vor­handen ist, kann alter­nativ auch im ersten Schritt nur ein Server mit den Patches bestückt werden; der zweite wird dann – je nach Kri­ti­ka­lität der Lücke – zeit­ver­setzt gepacht.

Steht nur ein Server zur Ver­fügung, legt man die Patch­in­stal­lation in lastarme Zeiten, ver­bunden mit einem vor­he­rigen Backup. Bei vir­tu­ellen Servern lässt sich dieses leicht durch einen Snapshot erreichen. In jedem Fall ist es not­wendig, sich mit den Ver­ant­wort­lichen wich­tiger Geschäfts­pro­zesse zu syn­chro­ni­sieren. So ist bei­spiels­weise das Aus­rollen eines Patches während der wich­tigsten Messe des Jahres für ein Unter­nehmen sehr genau abzu­wägen.

Bei Clients kann der Aus­roll­prozess eben­falls in Stufen erfolgen: Defi­nieren Sie eine geeignete Gruppe an Clients, die die Patches zuerst erhält. Diese Gruppe sollte die betroffene Software mög­lichst im täg­lichen Betrieb nutzen und so gra­vie­rende Fehler schnell erkennen. Im Falle eines Fehlers im Patch sind dann nur wenige Mit­ar­beiter betroffen.

Sehen Sie auch eine Mög­lichkeit vor, ein­zelne Systeme ver­zögert zu patchen. Wird eine Pro­dukt­prä­sen­tation bei Ihrem wich­tigsten Kunden durch eine Patch-Instal­lation unter­brochen, zeigt das sicher ein sehr hohes Sicher­heits­be­wusstsein, wird aber die eigent­liche Prä­sen­tation stören.

Die Dring­lichkeit

Steht in einem kon­kreten Fall die Sicherheit im Kon­flikt mit anderen Zielen, muss eine schnelle und fun­dierte Ent­scheidung getroffen werden. Die not­wen­digen Ent­schei­dungs­träger adhoc zusam­men­zu­be­kommen und sich auf einen gemein­samen Weg zu einigen, ist nicht immer möglich. 

Daher ist es ratsam, schon im Vorfeld eine Ent­schei­dungs­matrix fest­zu­legen, die je nach Kri­ti­ka­lität des Patches und des Systems zeit­liche Rah­men­be­din­gungen zur Instal­lation vorgibt.

Bei Sicher­heits­lücken wird übli­cher­weise der Schwe­regrad mit dem inter­na­tional aner­kannten CVSS-Wert (Common Vul­nera­bility Scoring System) gemessen. Dabei wird jede Lücke auf einer Skala von 0 (unkri­tisch) bis 10 (hoch­kri­tisch) klas­si­fi­ziert. Software-Her­steller geben diesen Wert häufig bei den Erläu­te­rungen zu ihren Patches mit an.

Bilden Sie auf Basis dieser Skala Ihre Klas­si­fi­kation von Patches (z. B.10–7 = kri­tisch; 6,99–4 = mittel; 3.99–0 = gering). Falls der Her­steller keine CVSS-Werte angibt, bilden Sie die her­stel­lereigene Klas­si­fi­kation auf Ihr Schema ab.

Bilden Sie eben­falls für ihre Systeme Kri­ti­ka­li­täts­klassen z. B. direkter Daten­empfang aus dem Internet = Expo­niert, Empfang trans­for­mierter Daten aus dem Internet = geschützt, kein Daten­empfang aus dem Internet = iso­liert.

In der Matrix der System- und Schwach­stel­len­kri­ti­ka­lität können Sie nun indi­vi­duelle Reak­ti­ons­zeiten für die ver­schie­denen Sze­narien fest­legen.

Abbildung: Beispiel einer Reaktionsmatrix

Tabelle 1: Bei­spiel einer Reak­ti­ons­matrix
Quelle: eigene Dar­stellung; © Bild: DATEV eG

Das war’s dann, oder?

Sind alle Spiel­regeln fest­gelegt, habe ich ein umfas­sendes Patch­ma­nagement. Gibt es noch mehr zu berück­sich­tigen? Im dritten Teil gibt es einige Tipps zu Stol­per­fallen beim Patchen und was man vor­beugend gegen Situa­tionen tun kann, in denen zu einer Sicher­heits­lücke noch kein Patch exis­tiert.

Bild: VRD / Fotolia.com

Bisher erschienen in der Reihe “Patch­ma­nagement”:

Teil 1: Gefähr­liche Irr­tümer

Teil 3: Tipps und Tricks

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dr. Jörg Spilker, DATEV eG

Seit 2001 bei der DATEV eG. Ange­fangen mit der Ent­wicklung von Web­an­wen­dungen ver­la­gerte sich sein Schwer­punkt zunehmend zum Thema IT-Security. 2011 wech­selte er dann kon­se­quen­ter­weise in die IT-Security und kümmert sich nun um Infor­ma­ti­ons­si­cherheit des Unter­nehmens.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.