DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Tipps und Tricks

Patchmanagement Teil 3

Im 3. Teil zum Patch­ma­nagement gibt es einige Tipps zu Stol­per­fallen beim Patchen und was man vor­beugend gegen Situa­tionen tun kann, in denen zu einer Sicher­heits­lücke noch kein Patch existiert.

 

 

Die ersten beiden Teile der Bei­trags­serie zeigen, welche tech­ni­schen und orga­ni­sa­to­ri­schen Vor­keh­rungen ich treffen muss, um ein funk­tio­nie­rendes Patch­ma­nagement zu etablieren:

Heute geht es um besondere Situa­tionen und ein paar Tipps, damit das Patch­ma­nagement nicht selbst zum Angriffsziel wird.
 
Unge­patchte Lücken – Was nun?

Wir haben es gerade wieder erlebt. Das BSI hat vor einem Sicher­heits­risiko im Internet Explorer gewarnt, weil eine Sicher­heits­lücke bestand, für die aber noch kein Patch bereit stand. Besonders pro­ble­ma­tisch ist dieses, wenn die Lücke wie im ange­spro­chenen Fall schon aktiv für kri­mi­nelle Zwecke aus­ge­nutzt wird. In so einem Fall kann nur Ad Hoc ent­schieden werden, welches Risiko (mög­licher Sicher­heits­vorfall oder Betriebs­be­ein­träch­tigung) schwerer wiegt.

Besonders häufig von einer solchen Situation sind Browser und Browser-Plugins wie Java oder Flash betroffen. Hier kann man schon bei der Soft­ware­be­schaffung Not­si­tua­tionen vor­beugen. Im Zwei­felsfall sollte man in unter­neh­mens­kri­ti­schen Anwen­dungen auf Plugins ver­zichten. Bietet der Her­steller bei­spiels­weise Support für mehrere Browser, so kann man im Notfall ein­facher den Browser wechseln.

Falsche Patches

Ein wei­teres Risiko sind falsche Patches. Gele­gentlich erhält man E‑Mails, die wie die des Microsoft-Sup­­ports aus­sehen und an not­wendige Patches erinnern. Darin sind Links ent­halten, die zu den aktu­ellen Patches führen sollen. Besonders beliebt ist dieses Ver­fahren auch bei Smar­t­­phone-Software. Tat­sächlich handelt es sich aber um Schad­software, die auf­ge­spielt werden soll.

Große Her­steller wie Microsoft, Adobe oder Oracle infor­mieren ihre Nutzer nicht über Mail, da sie diese typi­scher­weise nicht direkt kennen. Seien Sie skep­tisch, wenn Sie eine solche Update-Mail erhalten. Leider gibt die Absende-Adresse einer Mail keinen sicheren Hinweis auf die Echtheit der Mail, sofern die Mail nicht zusätzlich signiert ist. Wenn Sie unsicher sind, ob die Mail echt ist, prüfen Sie den Sach­verhalt im Internet. Gibt es auf der Web­seite des Her­stellers Hin­weise auf einen Patch oder ein Update? Zeigen mög­liche Links in der Mail wirklich auf die Update-Seite des Her­stellers? Instal­lieren Sie keine Updates, die als Anhang an eine Mail kommen. Dieses gilt auch für Smart­phones, wo ins­be­sondere im Android-Umfeld Kri­mi­nelle diesen Weg nutzen um Tro­janer zum Aus­spähen mög­licher SMS-TANs zu installieren.

Auch öffent­liche Netze können ein Risiko für einen Patch dar­stellen. In öffent­lichen Netzen wie bsp. Hotel- oder Kon­­ferenz-WLANs lassen sich Server-Ant­­worten, die nicht über eine ver­schlüs­selte Kom­mu­ni­kation gehen, leicht mani­pu­lieren. Sollten Sie sich bei einem Download eines Patches in einem öffent­lichen Netz befinden, prüfen Sie, ob das Instal­la­ti­ons­pro­gramm vom rich­tigen Her­steller signiert wurde. Wer das Setup-Pro­­­gramm signiert hat, gibt Windows bei­spiels­weise in einem Hin­weis­fenster vor dem Aus­führen der Datei ein. Leider werden vor allem im Bereich der Freeware-Software vielfach Pro­gramme noch nicht signiert. Ver­schieben Sie den Download dann auf einen Zeit­punkt in dem Sie sich in einem kon­trol­lierten Netz befinden. Nutzen Sie in der Zwi­schenzeit das Pro­gramm mög­lichst nicht.

Zusam­men­fas­sende Tipps für Ihr Patchmanagement

  • Ver­schaffen Sie sich einen Über­blick über die ein­ge­setzten Programme.
  • Legen Sie im Vorfeld fest, in welchen Zeit­räumen Sie Patches aus­rollen und wie die not­wen­digen Test­pro­ze­duren aussehen.
  • Prüfen Sie, ob oder zu welchen Pro­dukten Sie auto­ma­tisch Updates erhalten.
  • Prüfen Sie die Ver­trau­ens­wür­digkeit der Downloadquelle.
  • Machen Sie es sich zur Regel, Hin­weise auf Updates zu beachten und nicht wegzuklicken.
  • Erstellen Sie eine Über­sicht darüber, für welche Pro­gramme Sie eigen­ständig auf Updates achten müssen.
  • Infor­mieren Sie sich regel­mäßig über Updates – etwa durch News­letter oder Branchenplattformen.
  • Laden Sie Patches zeitnah her­unter und instal­lieren diese.
  • Klas­si­fi­zieren Sie Ihre Systeme nach Kri­ti­ka­lität, um so Prio­ri­täten setzen zu können.
  • Achten Sie auf Mit­tei­lungen, die ankün­digen, dass ein Sup­ports für ein Produkt abläuft.
  • Instal­lieren Sie gege­be­nen­falls Upgrades, also neue Programmversionen.
  • Denken Sie für unter­neh­mens­kri­tische Anwen­dungen den Notfall einer noch nicht patch­baren Sicher­heits­lücke vor

Man muss etwas tun

Jedem muss klar sein, dass das alleine in einem hoch­kom­plexen IT-Umfeld nicht aus­reichen kann.

Auch wenn ein Viren­scanner alleine nicht die einzige Absi­cherung eines Gerätes dar­stellen sollte, ist guter und aktu­eller Viren­scanner immer eine wesent­liche Kom­po­nente eines gesamten Sicherheitskonzepts.

Jedes zusätz­liche Gerät, das auf das Unter­neh­mens­netzwerk zugreifen kann und jedes noch so unbe­deu­tende Mini­pro­gramm, das viel­leicht aus Spaß instal­liert wird, kann ein Risi­ko­faktor sein, wenn es nicht regel­mäßig gepatcht wird.

Ohne Sen­si­bi­li­sierung für die Gefahren, ein hohes Maß an Eigen­ver­ant­wort­lichkeit und Sorgfalt kann Sicherheit kaum noch gewähr­leistet werden.

Patch­ma­nagement bedeutet eine lückenlose Auf­listung im Unter­nehmen ein­ge­setzter Hard- und Software sowie deren regel­mäßige Aktua­li­sierung. Das kann durch Unter­stützung von Tools erfolgen, aber auch manuell.

Bild: VRD / Fotolia.com

Bisher erschienen in der Reihe “Patch­ma­nagement”:

Teil 1: Gefähr­liche Irrtümer

Teil 2: Span­nungsfeld Stabilität-Sicherheit-Dringlichkeit

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dr. Jörg Spilker, DATEV eG

Seit 2001 bei der DATEV eG. Ange­fangen mit der Ent­wicklung von Web­an­wen­dungen ver­la­gerte sich sein Schwer­punkt zunehmend zum Thema IT-Security. 2011 wech­selte er dann kon­se­quen­ter­weise in die IT-Security und kümmert sich nun um Infor­ma­ti­ons­si­cherheit des Unternehmens.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.