DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Unter­nehmen und Patchmüdigkeit?

Glaubt man der aktu­ellen Studie von Tripwire, so greift in den meisten Unter­nehmen eine gewisse Patchmü­digkeit immer mehr um sich.

Es ist kein Wunder, wenn man an die Unmengen von Patches und die Vielzahl von End­ge­räten auf die sie auf­ge­spielt werden müssen denkt, die not­wendig sind, damit die IT-Abteilung die Unter­neh­mens­si­cherheit gewähr­leisten kann.Welche Gründe können zur Patchmü­digkeit führen und was kann man dagegen tun? 

Patch­ma­nagement ist zu zeitintensiv
Egal, ob es sich um hundert End­geräte im Unter­nehmen, oder um mehrere Tausend handelt. Auf­grund der Vielzahl von ver­schie­denen Fehlern Pro­grammen und End­ge­räten kann das not­wendige patchen sich auf mehrere hundert Stunden pro Monat belaufen. Manche Patches benö­tigen einen Sys­tem­neu­start um aktiv zu werden. Wenn der Zeit­punkt nicht gut gewählt ist, kann das zu erheb­lichen Aus­fall­zeiten im Unter­nehmen führen. Eine mög­liche Abhilfe kann hier ein auto­ma­ti­sches Patch­ma­nage­menttool sein, das nur außerhalb der Haupt­last­zeiten, also nachts oder am Wochenende aktiv wird. Natürlich kann man auch einfach die kri­tischsten Bereiche und Patches her­aus­greifen und diese bevorzugt einspielen. 

Patchen umfasst nicht nur Microsoftprodukte
Obwohl fast jedes Unter­nehmen Micro­soft­pro­dukte nutzt, reicht der Micro­soft­patchday für ein voll­stän­diges Patch­ma­nagement nicht aus, da meist noch eine Vielzahl anderer Software im Unter­nehmen vor­handen ist. Sehr kri­tisch sind bei­spiel­weise Java und Flash­player Updates. Nützlich ist hier ein Patch­ma­nage­menttool, das ver­schiedene Arten von Software und die dazu­ge­hö­rigen End­geräte erkennt und inven­ta­ri­siert und mit Patches ver­sorgt. Auch eine Zusam­men­legung von End­ge­räten die ähn­liche Software haben in Update-Gruppen, bei­spiels­weise ein Updatetermin für alle mobilen End­geräte, kann hier Zeit sparen. 

Sor­gen­kinder Java und Flash
Diese beiden sind ver­mutlich der Haupt­grund für die Patchmü­digkeit. Denn beide sind ja nie alleine instal­liert, sondern immer mit anderer Software gebündelt. So ver­liert man leicht die Über­sicht, welche End­ge­räten mit welchen Ver­sionen von Java und Flash bestückt sind. Auch hier kann ein Inven­ta­ri­sie­rungstool sehr hilf­reich sein, weil es eine kom­plette Über­sicht liefert. 

Struk­tu­rierter Zeitplan und kri­tische Fixes
Es ist sehr schwierig, einen struk­tu­rierten Zeitplan und kri­tische Fixes zusammen zu bringen. Der Microsoft Patch-Dienstag, an dem  Microsoft die Patches für alle seine Pro­dukte am zweiten Dienstag im Monat aus­liefert, hat die Patch­the­matik für die IT-Ver­­an­t­­wor­t­­lichen zwar ein wenig ver­ein­facht. Aber Apple bei­spiels­weise richtet sich nicht nach solchen Regeln. Sobald also mehrere Betriebs­systeme im Unter­nehmen exis­tieren, müssen deren Patches somit in unter­schied­lichen Abständen auf­ge­spielt werden.
Um die Last zu redu­zieren, sollte ein Patch­zeitplan erstellt werden. Dieser muss sich nicht zwangs­läufig nach dem Microsoft-Patchday richten, obwohl sehr viele Unter­nehmen den dar­auf­fol­genden Samstag zum patchen nutzen. Hier kann man je nach vor­han­denen Betriebs­sys­temen noch weitere Termine ein­planen. Um die Netz­werk­si­cherheit zu gewähr­leisten, sollte aber min­destens einmal pro Quartal alles gepatcht worden sein. 

Nicht jeder Patch ist für jedes End­gerät gleich kritisch
Es gibt zwar inter­na­tionale Stan­dards, die ein­stufen, wie kri­tisch ein Patch ist, aber das alleine ist nicht unbe­dingt aus­sa­ge­kräftig genug. Um die Sicherheit im Fir­men­netzwerk zu gewähr­leisten, muss genauer dif­fe­ren­ziert werden. Nämlich wie wichtig ein Patch für ein bestimmtes End­gerät im Unter­neh­mens­netzwerk ist. Es gibt durchaus Sicher­heits­lücken, die vom Her­steller als kri­tisch ein­ge­stuft werden, die innerhalb des Unter­nehmens keine Folgen haben müssen. Genauso gibt es aber Sicher­heits­lücken, die vom Her­steller als nicht gra­vierend ein­ge­stuft werden, die aber an einem bestimmten Gerät im Unter­nehmen große Sicher­heits­lücken ver­ur­sachen. Auch hier ist ein Patch­ma­nage­menttool sehr hilf­reich, weil man damit einen Über­blick über die alle End­geräte und die darauf instal­lierte Software hat. So weiß man immer genau, wann ein End­gerät gepatcht werden muss. 

Ver­mengen von Patch- und Schwachstellenmanagment
Die beiden Begriffe werden oft ver­mischt. Das kann in der Praxis aber sehr gefährlich werden. So tummeln sich in fast allen Netz­werken noch Hard-oder Soft­ware­leichen, die zur tickenden Zeit­bombe werden können, weil sie ver­altete Soft­ware­ver­sionen, die nicht mehr gepatcht werden, nutzen. Diese können dann unbe­merkt zum Ein­fallstor für Angreifer werden. Auch hier ist eine auto­ma­ti­sierte Inven­ta­ri­sierung hilf­reich, weil sie die Gefahr reduziert. 

Fazit:

In einer immer kom­plexer wer­denden Umwelt mit rasant wach­senden Inter­net­be­dro­hungen sind Tools die die Abläufe für die IT-Abteilung auto­ma­ti­sieren und einen Über­blick über die kom­plette im Unter­nehmen vor­handene Hard- und Software liefern, fast schon unver­zichtbar um die Unter­neh­mens­si­cherheit zu gewährleisten.

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Manuela Moretta, DATEV eG

Über die Autorin:

Diplom-Kauffrau

Seit 1994 tätig bei DATEV eG. Im Bereich IT-Dienst­leis­tungen und Security seit 2005 zuständig für über­grei­fende Kom­mu­ni­kation und Ver­marktung tech­ni­scher Pro­dukt­lö­sungen. Ver­fasst in diesem Kontext regel­mäßig Bei­träge in der Kun­den­zeit­schrift der DATEV und ist Co-Autorin des Leit­fadens „Deutschland sicher im Netz”. Privat Mutter eines „Digital Natives” und „tech­nische Bera­terin” der Unter­nehmer im Bekanntenkreis.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.