Patch-Management als kritischer Faktor effektiver IT-Security-Konzepte
Welche Bedeutung von einem professionellen Patch-Management ausgeht, ist gerade im Zuge der Vorfälle rund um die Sicherheitslücken von Microsoft Exchange offensichtlich geworden. Auch wenn nach wie vor die Frage im Raum steht, ob Microsoft die Patches für die vier identifizierten Schwachstellen nicht viel früher hätte liefern können, ändert dies nichts an der Tatsache, dass mit deren Bereitstellung auf Seiten der Unternehmensanwender ein Spiel gegen die Zeit startete. Denn mit jedem verstrichenen Tag ohne Sicherheitsupdate erhöht sich das auch das Risiko, Ziel von Angriffen zu werden – zumal entsprechende Aktivitäten ja bereits weltweit zu beobachten waren und in der Frequenz spätestens seit Ende Februar massiv nach oben gingen.
Unternehmen, die bereits eine professionelle Lösung zum Patch-Management in den eigenen Reihen im Einsatz haben, waren in dem Fall zumindest zeitlich ein Stück weit im Vorteil. Aber nicht nur im Hinblick auf solche extrem kritischen Security-Ereignisse lohnt es sich für Organisationen darüber nachzudenken, wie sich die Patch-Prozesse effektiver aufgleisen lassen.
Patches gehören seit jeher zum Tagesgeschäft von IT-Verantwortlichen
Das Thema selbst ist keinesfalls neu – ganz im Gegenteil. Mit der ersten Entwicklung von Computer-Betriebssystemen wurden auch Patches zum Teil des IT-Alltags. Diese zielen in der Regel darauf ab, die Leistung zu steigern, zusätzliche Funktionen hinzuzufügen und/oder Sicherheitslücken zu schließen. Je nach Anzahl der involvierten Server und Endgeräte kann der Rollout entsprechender Aktualisierungen schnell zu einer zeitintensiven, lästigen Aufgabe für die IT-Abteilung werden.
Und auch auf Anwenderseite werden Patches eher als Störfaktor wahrgenommen. Computer und Server müssen nach dem Einspielen oft neu gestartet werden, was mit Arbeitsunterbrechungen einhergeht und Einfluss auf die Produktivität nimmt. Updates werden daher häufig aufgeschoben und empfohlene Patches ignoriert. Dies kann für Unternehmen allerdings schwerwiegende Folgen haben.
Bekannte, nicht gepatchte Software-Schwachstellen sind für Cyberkriminelle ein gefundenes Fressen. Entsprechende Versäumnisse auf Unternehmensseite werden von Hackern gnadenlos ausgenutzt. So zeigt die Erfahrung, dass sich 80 Prozent aller erfolgreichen Angriffe auf Schwachstellen zurückführen lassen, für die es Patches gibt, die nicht installiert wurden.
Besseres Patch-Management
Angesichts einer solchen Quote ist es wichtig, dass Unternehmen über einen effektiven Patch-Management-Prozess verfügen. Dadurch wird sichergestellt, dass alle kritischen Patches – sobald verfügbar – auf sämtlichen relevanten Geräten aufgespielt werden.
Obwohl dies eine einfache Aufgabe zu sein scheint, fällt es den meisten Organisationen schwer, zu erkennen, welche kritischen Patch-Updates sie zuerst installieren müssen. Dass Unternehmen wie im aktuellen Fall der Exchange-Attacken sogar postalisch von Stellen wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) auf offene Flanken – die es dringend zu schließen gilt – hingewiesen werden, ist wohl eher die Ausnahme. Die Priorisierung von Patch-Rollouts stellt somit einen essenziellen Teil des Managementprozesses dar. Am wichtigsten sind in dem Zusammenhang Sicherheitspatches sowie die sogenannten Service Pack- oder Feature Pack-Patches.
Sicherheitspatches sind darauf ausgelegt, Bugs oder Fehler in einer Anwendung oder einem Programm zu beheben, die mit einem zu Tage getretenen Sicherheitsrisiko einhergehen. Durch die Anwendung dieser Art von Patch wird verhindert, dass Schwachstellen ausgenutzt werden.
Service Pack- (SP) oder Feature Pack- (FP) Patches umfassen in der Regel eine Sammlung von Updates, Korrekturen oder Funktionserweiterungen für eine Software. Somit lassen sich meist mehrere Probleme auf einmal lösen. Zum Umfang gehören üblicherweise alle bereits vor diesem Service Pack veröffentlichten Patches, Hotfixes, Wartungs- und Sicherheitspatches. Dass selbst beim Einspielen von Patches unter Umständen nicht alles läuft wie geplant, kommt durchaus vor. In Verbindung mit der eingangs erwähnten Exchange-Schwachstelle gibt Microsoft hier Hilfestellungen rund um das „Reparieren fehlgeschlagener Installationen von kumulativen Updates (CU) und Sicherheitsupdates (SU)“.
Lebenszyklus des Patch-Managements
Eine effektive Patch-Management-Strategie kann entscheidend dazu beitragen, ein Unternehmen vor Schwachstellen und Cyberangriffen zu schützen. Der Schlüssel dazu ist die Etablierung einer Patch-Management-Routine, die wirksam im laufenden Tagesgeschäft verankert wird.
In diesem Prozess gilt es sechs Aspekte zu berücksichtigen:
Bestandsaufnahme: Die genaue Identifizierung aller IT-Assets und der darauf installierten Software sowie des vorhandenen Patch-Status ist eine komplexe Aufgabe. Durch eine solche Bestandsaufnahme wird es jedoch möglich, Änderungen am System ohne Risiko vorzunehmen. Zudem kann zu einem früheren bekannten Funktionszustand zurückgekehrt werden, sollte es bei der Installation eines Updates oder Patches Probleme geben.
Patch-Verfügbarkeit: Die aktuelle Liste der Patches muss mit der Inventarliste zu Geräten und Software abgeglichen werden. So lässt sich feststellen, welcher Patch wo zur Anwendung kommen sollte.
Anwendbarkeit: Veröffentlichte Patches sind nicht immer für alle Geräte innerhalb einer Organisation gültig. Somit gilt es zu prüfen, ob ein bestimmtes Update für die jeweiligen Assets geeignet ist.
Beschaffung: Es ist nicht immer einfach, die Update-Datei von einer offiziellen Quelle zu erhalten und zu kontrollieren, ob der Patch legitim ist. Die Verwendung von Hashes ist bei Patches, die sich auf Steuersysteme beziehen, nicht üblich.
Validierung: Die Validierung dient der Sicherstellung, dass das Patch-Update keine negativen Auswirkungen auf die interne IT-Infrastruktur oder bestehende Prozesse haben wird. Um den Patch oder das Update zu validieren, müssen Test-Assets verwendet und Rollout-Phasen eingehalten werden. Im Zuge der Validierung wird geprüft, welche Auswirkungen das Update haben könnte, z.B. im Hinblick auf die Anpassung von Firewall-Richtlinien und Benutzereinstellungen.
Rollout: Der letzte Schritt in einem effektiven Patch-Management-Prozess ist der Rollout der validierten Patches auf die entsprechenden Geräte. Das jeweilige Rollout-Paket sollte sowohl Update-Dateien als auch Installationsanweisungen für IT-Teams enthalten, um sicherzustellen, dass der Prozess effektiv und in Übereinstimmung mit den Herstelleranforderungen durchgeführt wird.
Mit einem solchen strukturierten Ansatz für das Patch-Management kann ein Unternehmen effektiv dazu beitragen, dass seine IT-Infrastruktur mit optimaler Leistung arbeitet und vor allen bekannten Schwachstellen geschützt ist. Gerade Organisationen, die das Thema Patch-Management bisher nur stiefmütterlich behandeln, sollten das eigene Vorgehen einmal genau unter die Lupe nehmen und hinterfragen, wo Optimierungspotenziale liegen, die sich mit technologischer Unterstützung – wie sie beispielsweise das WatchGuard Panda Patch Management bietet – nachhaltig ausspielen lassen.