Nicht jeder Patch muss sofort aufs System

Dennis Monner ist CEO der gateProtect AG

Die meisten Firmen vertrauen heute zentrale Bereiche ihrer Geschäftsabläufe der IT an. Malware, Viren oder Trojaner, aber auch Software-Fehler gefährden deren Verfügbarkeit, Performance sowie Datenintegrität und damit oft auch die Existenz des Unternehmens. Hacker- oder Malware-Angriffe richten aber nicht nur finanziellen Schaden an, sie führen oft auch zu rechtlichen Konsequenzen und schaden dem guten Ruf.

Die Ressourcen fehlen

Um den Bedrohungen angemessen zu begegnen, ist es nötig, alle am Schutz beteiligten Hardware- und Software-Instanzen auf dem aktuellen Stand zu halten. Idealerweise verfügen Unternehmen über einen exakt definierten Ablaufplan, der in das Risikomanagement integriert ist und auf einen Bestand wirkt, den das Assetmanagement beliebig genau bestimmen kann. Bevor Patches und Updates auf die Geräte der Produktivumgebung gespielt werden, kümmert sich ein extra dafür abgestelltes Team von Experten darum, ob es Inkompatibilitäten mit den eigenen Ressourcen oder zwischen den Patches gibt.

Die Wirklichkeit sieht bei den meisten Unternehmen ganz anders aus. Dort sind Administratoren und Verantwortliche ohnehin jenseits ihrer Kapazität belastet. Für langwierige Kompatibilitätstests oder eigene Recherchen bleibt in der Praxis kaum Zeit - zumal, wenn das Aufspielen wegen akuter Gefahr schnell erfolgen muss. Situationsverschärfend kommt hinzu, dass eine unternehmensweite Patch-Management-Lösung nur selten ganz oben auf der Bewilligungsliste des IT-Budgets zu finden ist. Das vordergründige Argument: Sie hat für die Geschäftsprozesse nur untergeordnete Bedeutung.

Dennoch hat das Idealszenario mehr als nur akademischen Wert. Selbst wenn der finanzielle Rahmen klein ist, die «Teams» nur aus einem einzigen Administrator bestehen und der Alltagsstress kaum Zeit lässt, es rentiert sich in jedem Fall, das Patch-Management als einen geordneten Prozess aufzusetzen. Der Einsatz eines Software-Tools allein löst die Probleme nicht.

Gangbarer Kompromiss

Patch-Management ist stets ein Kompromiss aus einem komplett selbst überwachten Prozess und durch die Praxis vorgegebenen Teilbereichen, die Hersteller und Dienstleister beisteuern. Kaum ein Unternehmen ist in der Lage, die regelmässig erscheinenden Betriebssystem-Patches selbst zu testen, sie geben diese Verantwortung schlicht an den Hersteller ab. Besonders im Security-Umfeld gibt es dazu meist gar keine Alternative: Die Patches müssen so schnell wie möglich eingespielt werden, da eine akute Bedrohung besteht. Die wichtige Aufgabe, rechtzeitig über die aktuelle Bedrohungslage informiert zu sein, ist nicht zu unterschätzen. Der Aufwand, die einschlägigen Community-Webseiten, Mailinglisten, Foren und Blogs sowie Herstellerverlautbarungen zu beobachten, können selbst Spezialisten in einem grösseren IT-Team selten leisten.

Ein gutes Beispiel dafür, wie ein durchdachtes Konzept dem Anwender viel Arbeit und Kopfzerbrechen abnehmen kann, liefert eine UTM-Firewall-Appliance (Unified Thread Management), auf der eine Kombination aus Open-Source-Software und kommerziellen Produkten arbeitet. In den allermeisten Fällen wird sich der Betreiber dafür entschieden haben, um den eigenen Aufwand möglichst gering zu halten. Von den Sicherheits-Features aus dem Open-Source-Umfeld weiss er, dass sie besonders leistungsfähig und aktuell sind, weil die Community permanent ein waches Auge darauf hat und Bugs wie Fixes flott kommuniziert. Andererseits verfügt der Verantwortliche selbst weder über ausreichend Kompetenz noch Zeit, ständig - also gewissermassen in Echtzeit - auf dem Laufenden zu sein. Er profitiert also davon, wenn der Anbieter dediziert zu diesem Zweck ein eigenes Team unterhält, das laufend Kontakt zur Community der Entwickler und User hält. Dies ergibt einen sofort einsehbaren Geschwindigkeitsvorteil, ausserdem verhindert es, dass der Anwender einen Fehler - etwa bei einem Kompatibilitätsproblem - wiederholt, den ein anderer schon früher gemacht und kommuniziert hat.

Überwacht also ein Team des Anbieters sowohl die Bedrohungslage als auch die Funktionalität der Patches, stellt sich fast immer ein Gewinn an Sicherheit ein. Ausgenommen davon sollte die Antiviren-Software sein. Anbieter von Antiviren-Lösungen liefern ihre Signaturen heute mindestens im Stundentakt. Daher ist es wenig sinnvoll, in diesen Prozess eine Zwischenstufe zu schalten. Das Aufspielen der Signaturen auf der Appliance verläuft auch im Zusammenspiel mit anderer Software ohne Probleme.

Damit das Patch-Management nicht nur zuverlässig, sondern auch ohne Beeinträchtigung des operativen Betriebs ablaufen kann, müssen die Patches nach ihrer Dringlichkeit klassifiziert werden. Der Administrator muss wissen, welche zuerst einzuspielen sind und welche warten können. Damit eine solche Priorisierung möglich ist, sollte der geschilderte Prozess nicht vollkommen automatisch ablaufen. Bei einem Virensignatur-Update auf dem Desktop-System eines Endanwenders darf diese Entscheidung hingegen nicht beim Nutzer liegen. Ein Workflow muss diese Tätigkeiten regeln, wobei die manuelle Bearbeitung der Patches über eine übersichtliche Oberfläche einfach zu handhaben sein sollte, damit der Administrator die notwendigen Aktionen mit einem Mausklick auslösen kann.

Zu den wichtigsten Aufgaben eines effizienten Patch-Managements zählt daher die Definition eines sauberen Prozesses, der auf der möglichst exakten Kenntnis der eingesetzten Hardware und Software aufsetzt. Hilfeleistung kommt zwar von geeigneter Software, doch als alleiniger Problemlöser ist sie überfordert. Vielmehr ist ein durchdachtes und individuell abgestimmtes Konzept gefragt.