Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Unternehmen und Patchmüdigkeit?
Glaubt man der aktuellen Studie von Tripwire, so greift in den meisten Unternehmen eine gewisse Patchmüdigkeit immer mehr um sich.
Es ist kein Wunder, wenn man an die Unmengen von Patches und die Vielzahl von Endgeräten auf die sie aufgespielt werden müssen denkt, die notwendig sind, damit die IT-Abteilung die Unternehmenssicherheit gewährleisten kann.Welche Gründe können zur Patchmüdigkeit führen und was kann man dagegen tun?
Patchmanagement ist zu zeitintensiv
Egal, ob es sich um hundert Endgeräte im Unternehmen, oder um mehrere Tausend handelt. Aufgrund der Vielzahl von verschiedenen Fehlern Programmen und Endgeräten kann das notwendige patchen sich auf mehrere hundert Stunden pro Monat belaufen. Manche Patches benötigen einen Systemneustart um aktiv zu werden. Wenn der Zeitpunkt nicht gut gewählt ist, kann das zu erheblichen Ausfallzeiten im Unternehmen führen. Eine mögliche Abhilfe kann hier ein automatisches Patchmanagementtool sein, das nur außerhalb der Hauptlastzeiten, also nachts oder am Wochenende aktiv wird. Natürlich kann man auch einfach die kritischsten Bereiche und Patches herausgreifen und diese bevorzugt einspielen.
Patchen umfasst nicht nur Microsoftprodukte
Obwohl fast jedes Unternehmen Microsoftprodukte nutzt, reicht der Microsoftpatchday für ein vollständiges Patchmanagement nicht aus, da meist noch eine Vielzahl anderer Software im Unternehmen vorhanden ist. Sehr kritisch sind beispielweise Java und Flashplayer Updates. Nützlich ist hier ein Patchmanagementtool, das verschiedene Arten von Software und die dazugehörigen Endgeräte erkennt und inventarisiert und mit Patches versorgt. Auch eine Zusammenlegung von Endgeräten die ähnliche Software haben in Update-Gruppen, beispielsweise ein Updatetermin für alle mobilen Endgeräte, kann hier Zeit sparen.
Sorgenkinder Java und Flash
Diese beiden sind vermutlich der Hauptgrund für die Patchmüdigkeit. Denn beide sind ja nie alleine installiert, sondern immer mit anderer Software gebündelt. So verliert man leicht die Übersicht, welche Endgeräten mit welchen Versionen von Java und Flash bestückt sind. Auch hier kann ein Inventarisierungstool sehr hilfreich sein, weil es eine komplette Übersicht liefert.
Strukturierter Zeitplan und kritische Fixes
Es ist sehr schwierig, einen strukturierten Zeitplan und kritische Fixes zusammen zu bringen. Der Microsoft Patch-Dienstag, an dem Microsoft die Patches für alle seine Produkte am zweiten Dienstag im Monat ausliefert, hat die Patchthematik für die IT-Verantwortlichen zwar ein wenig vereinfacht. Aber Apple beispielsweise richtet sich nicht nach solchen Regeln. Sobald also mehrere Betriebssysteme im Unternehmen existieren, müssen deren Patches somit in unterschiedlichen Abständen aufgespielt werden.
Um die Last zu reduzieren, sollte ein Patchzeitplan erstellt werden. Dieser muss sich nicht zwangsläufig nach dem Microsoft-Patchday richten, obwohl sehr viele Unternehmen den darauffolgenden Samstag zum patchen nutzen. Hier kann man je nach vorhandenen Betriebssystemen noch weitere Termine einplanen. Um die Netzwerksicherheit zu gewährleisten, sollte aber mindestens einmal pro Quartal alles gepatcht worden sein.
Nicht jeder Patch ist für jedes Endgerät gleich kritisch
Es gibt zwar internationale Standards, die einstufen, wie kritisch ein Patch ist, aber das alleine ist nicht unbedingt aussagekräftig genug. Um die Sicherheit im Firmennetzwerk zu gewährleisten, muss genauer differenziert werden. Nämlich wie wichtig ein Patch für ein bestimmtes Endgerät im Unternehmensnetzwerk ist. Es gibt durchaus Sicherheitslücken, die vom Hersteller als kritisch eingestuft werden, die innerhalb des Unternehmens keine Folgen haben müssen. Genauso gibt es aber Sicherheitslücken, die vom Hersteller als nicht gravierend eingestuft werden, die aber an einem bestimmten Gerät im Unternehmen große Sicherheitslücken verursachen. Auch hier ist ein Patchmanagementtool sehr hilfreich, weil man damit einen Überblick über die alle Endgeräte und die darauf installierte Software hat. So weiß man immer genau, wann ein Endgerät gepatcht werden muss.
Vermengen von Patch- und Schwachstellenmanagment
Die beiden Begriffe werden oft vermischt. Das kann in der Praxis aber sehr gefährlich werden. So tummeln sich in fast allen Netzwerken noch Hard-oder Softwareleichen, die zur tickenden Zeitbombe werden können, weil sie veraltete Softwareversionen, die nicht mehr gepatcht werden, nutzen. Diese können dann unbemerkt zum Einfallstor für Angreifer werden. Auch hier ist eine automatisierte Inventarisierung hilfreich, weil sie die Gefahr reduziert.
Fazit:
In einer immer komplexer werdenden Umwelt mit rasant wachsenden Internetbedrohungen sind Tools die die Abläufe für die IT-Abteilung automatisieren und einen Überblick über die komplette im Unternehmen vorhandene Hard- und Software liefern, fast schon unverzichtbar um die Unternehmenssicherheit zu gewährleisten.
Über die Autorin:
Diplom-Kauffrau
Seit 1994 tätig bei DATEV eG. Im Bereich IT-Dienstleistungen und Security seit 2005 zuständig für übergreifende Kommunikation und Vermarktung technischer Produktlösungen. Verfasst in diesem Kontext regelmäßig Beiträge in der Kundenzeitschrift der DATEV und ist Co-Autorin des Leitfadens „Deutschland sicher im Netz”. Privat Mutter eines „Digital Natives” und „technische Beraterin” der Unternehmer im Bekanntenkreis.
Für DATEV sind Datenschutz und Datensicherheit seit Gründung des Unternehmens zentrale Elemente in der Geschäftspolitik. Daher engagiert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.
Neueste Kommentare