Angriffe durch Hacker und Malware sind heute an der Tagesordnung und verursachen in Unternehmen immense wirtschaftliche Schäden.

Selbst erfolglose Einbruchsversuche führen oft dazu, dass kritische Systeme und Applikationen ausfallen oder Bandbreiten bis zum Stillstand belastet werden. Im Fadenkreuz der Angreifer stehen insbesondere die bekannten Schwachstellen verbreiteter Microsoft-Betriebssysteme und Anwendungen. Redmond reagiert mit der Bereitstellung immer aktueller Sicherheits-Patches, die das „Window of Vulnerability“ für Kunden minimieren sollen.

Patches werden nicht zeitnah installiert

Obwohl für die meisten Sicherheitslücken relativ schnell Patches verfügbar sind, werden sie in vielen Unternehmen nicht zeitnah genug installiert. Einige Zahlen belegen die Brisanz der aktuellen Lage: Laut einer Studie des Sicherheits-herstellers McAfee aus dem Jahr 2006 benötigen 27 Prozent aller Unternehmen rund 48 Stunden oder mehr, um eine Sicherheitslücke vollständig zu schließen. 19 Prozent benötigen sogar eine Woche oder länger. Eine priorisierte Patch-Verteilung für besonders gefährdete oder kritische Bereiche findet nur in 55 Prozent der befragten Unternehmen statt. 36 Prozent hatten keinen Anhaltspunkt, wie viele Patches in den letzten sechs Monaten überhaupt verteilt wurden, 59 Prozent der Befragten waren sich über die Kosten des Patch-Management im Unklaren.

Transparenz und Geschwindigkeit steigern

Diese Situation erklärt sich aus der stark gestiegenen Komplexität des Patch-Managements, die manuell kaum mehr zu bewältigen ist: IT-Verantwortliche stehen heute vor der Herausforderung, eine unüberschaubare Vielzahl von Patches zu sichten, auf Relevanz für das Unternehmen zu prüfen und eventuelle Abhängigkeiten oder Unverträglichkeiten vor der Installation zu beheben. Rechtliche Vorgaben, externe Audits und interne Service Level Agreements erfordern eine transparente Darstellung der Sicherheitsprobleme (Vulnerabilities) und den zweifelsfreien Nachweis der Security Compliance – auch in komplexen, verteilten Netzwerken. Gleichzeitig verkleinert sich der Zeitraum zwischen Entdeckung einer Schwachstelle und Angriff immer weiter, sodass auch die Reaktionszeiten verkürzt werden müssen. Geschwindigkeit ist beim Patch-Rollout von zentraler Bedeutung, sie darf aber nicht zu Lasten der Qualitätssicherung gehen. Zu den wichtigsten Voraussetzungen für eine wirksame, auditierbare und gleichzeitig auch wirtschaftlich effiziente Gefahrenabwehr gehört deshalb ein zentralisiertes und automatisiertes Patch-Management.

Zentralisierung und Automatisierung des Patch-Managements

Der im konkreten Einzelfall zur Verfügung stehende Automationsgrad sowie die Funktionalität hängen natürlich ganz von der gewählten Lösung ab. Im Wesentlichen stehen Unternehmen zwei Wege zur Realisierung eines automatisierten Patch-Managements offen: Zum einen kann das Patch-Management als separate Infrastruktur mit eigenen, dedizierten Servern aufgebaut werden, zum anderen ist eine Integration in das bestehende IT Lifecycle Management möglich. Für beide Ansätze werden im Markt geeignete Lösungen angeboten, die jeweils ihre spezifischen Vorteile haben. Prominentester Vertreter der ersten Kategorie ist hierbei mit Sicherheit der Microsoft Windows Server Update Service (WSUS), den Microsoft allen Unternehmen kostenlos bereitstellt. Neben diesem Kostenargument spricht auch die Verwendung von Microsoft-eigener Technologie für den WSUS, da bei Verwendung einer anderen Technologie der Verlust des Supports durch Microsoft droht. Gleichzeitig erfordert ein Patch- Management auf Basis des WSUS aber den Aufbau und die Pflege einer eigenen Infrastruktur, wodurch der initiale Kostenvorteil wieder relativiert wird.

Der zweite Lösungsansatz propagiert die Integration des Patch-Managements in das IT Lifecycle Management. Nicht nur alle großen, sondern auch die meisten mittelständischen Unternehmen verfügen bereits über zentralisierte IT Lifecycle Managementlösungen sowie Deployment-Konzepte für die Verteilung von Betriebssystemen, Applikationen und Treibern in ihrer IT-Infrastruktur. Die Integration des Patch-Managements als weitere Komponente liegt hier nahe, da so der Aufbau einer doppelten Infrastruktur und alle damit zusammenhängenden Kosten vermieden werden können. Gegenüber dem WSUS bietet Patch-Management im Rahmen des IT Lifecycle Managements einen höheren Automationsgrad und differenziertere Deployment-Optionen, wobei keine Re-Paketierung der Patches erforderlich ist. Darüber hinaus haben führende Hersteller in diesem Bereich vor geraumer Zeit von proprietären Technologien auf die Verwendung von Microsoft Standardtechnologien umgeschwenkt, sodass der Support durch den Betriebssystemhersteller nicht beeinträchtigt wird.

Sicherheitsschwachstellen pro-aktiv aufspüren und schließen

Die Identifikation von Schwachstellen ist Voraussetzung für ein pro-aktives Patch-Management und die nachweisbare Übereinstimmung mit den diversen Compliance-Anforderungen. Durch die Offenlegung der entsprechenden Schnittstellen durch Microsoft können heute alle Patch-Management-Lösungen die Funktionalität des Microsoft Baseline Security Analyzer (MBSA) im Zusammenhang mit dem Microsoft Patch-Katalog (WSUSScan.cab) nutzen. Ein Beispiel: Das Patch-Management des deutschen IT Lifecycle Management-Anbieters enteo Software GmbH führt auf allen verwalteten Systemen einen automatischen Security Scan beziehungsweise einen Abgleich mit den im Patch-Katalog enthaltenen Schwachstellen durch, sobald sich ein Client erstmals mit dem IT Lifecycle Management verbindet oder ein Scan manuell angestoßen wird. Informationen über verwundbare Systeme und die konkret benötigten Patches werden über das IT Lifecycle Management konsolidiert an den IT-Verantwortlichen zurückgemeldet, der über weitere Maßnahmen entscheidet.

Da hier Microsoft-Standardtechnologie verwendet wird, ist ein ähnliches Verfahren durchaus auch mit dem WSUS und anderen Lösungen möglich. Im Rahmen des IT Lifecycle Management kann aber eine komfortablere Selektion und Anpassung an die individuellen Erfordernisse des Unternehmens durchgeführt werden: So sieht der Sicherheitsverantwortliche sofort, welche neuen Patches von Microsoft angeboten werden und ob Änderungen an bereits veröffentlichten Patches durchgeführt wurden. Der Patch-Katalog von Microsoft umfasst mittlerweile weit über 500 Einträge. Deshalb sollte eine Drill-Down-Funktionalität bereitstehen, die anhand von Kriterien wie Betriebssystem, spezifischer Komponenten, Sprache oder Dringlichkeit unterscheidet. Nur so kann trotz der Menge der Patches zielgerichtet gehandelt werden.

Einige Patch-Management-Lösungen ermöglichen zudem die Darstellung und automatische Auflösung von Abhängigkeiten zwischen Patches. Setzt Patch B also Patch A voraus, wird das Patch-Management diesen Zusammenhang melden und eine zusätzliche Zuweisung von Patch A fordern. Ist auf einigen Clients Patch A bereits vorhanden, wird natürlich nur Patch B installiert. Erfordert der Patch zudem einen Reboot des Systems, kann der Neustart über die Patch-Management-Lösung zeitlich gesteuert werden – eine Möglichkeit, die zum Beispiel der WSUS nicht bietet. Hier wird das System heruntergefahren, sobald der Patch installiert wird.

Policy-basiertes vs. Task-basiertes Patch-Management

Wesentliche Fortschritte hinsichtlich Transparenz und Effizienz lassen sich zudem erzielen, wenn die Zuweisung der benötigten Patches auf die Systeme Policy-basiert erfolgt. Task-basierte Ansätze, wie sie bislang oftmals üblich waren, erfordern von Sicherheitsverantwortlichen die Definition, Durchführung und Erfolgskontrolle des Patch-Rollouts. Der Zeitaufwand ist hier sehr groß und es entstehen zusätzliche Fehlerquellen. Vor allem hinsichtlich der steigenden Ansprüche an die permanente Nachweisbarkeit der Security Compliance reicht Task-basiertes Patch-Management nicht mehr aus, da die Erfolgskontrolle schwierig ist. Demgegenüber liegen die Vorteile eines Policy-basierten Managements auf der Hand: Mit der Policy wird der gewünschte Zustand (zum Beispiel der Patch-Status für eine bestimmte Anzahl von Systemen) ein einziges Mal definiert, die unternehmensweite Umsetzung und Kontrolle erfolgt über das IT Lifecycle Management. Damit müssen sich IT-Verantwortliche nicht mehr mit den vielen Regelfällen beschäftigen, sondern nur noch mit den wenigen Ausnahmen. Wird das Regel-basierte Management zudem mit einer entsprechenden Oberfläche verknüpft, lassen sich alle relevanten Compliance- Paramenter auf einen Blick erkennen.

In dieser Verbindung aus Zentralisierung und Policy-Basierung liegt der entscheidende Mehrwert von Patch-Management im Rahmen des IT Lifecycle Managements. Einerseits können die Patches per „Gießkannenprinzip“ bereitgestellt werden, sodass die Systeme selber entscheiden, ob sie einen bestimmten Patch benötigten. Patches lassen sich aber auch gezielt einer bestimmten Gruppe von Systemen zuweisen. Erst auf diesem Wege werden Deployment-Konzepte möglich, wie sie in der Praxis oftmals benötigt werden. Soll zum Beispiel auf allen Servern des Unternehmens mit Ausnahme der Exchange-Server ein Patch installiert werden, werden beim Policy-basierten Management einfach entsprechende Regeln definiert (gewünschter Patch-Status für Server, Deny-Policy für die dynamische Gruppe der Exchange Server). Fehlt diese Möglichkeit, ist eine sehr umständliche Strukturierung des Deployment-Prozesses erforderlich.

Qualitäts- und Revisionssicherheit

Policy-basiertes Patch-Management ermöglicht zudem die automatische Verteilung von Patches, wenn diese zum Beispiel mit hoher Dringlichkeit versehen sind. Diese Option wird gerade von mittelständischen Unternehmen oftmals verlangt, die in bestimmten Fällen der Reaktionsgeschwindigkeit vor der Qualitätssicherung den Vorrang geben. Größere Unternehmen nehmen dagegen immer eine Qualitätssicherung neuer Patches vor. Das Risiko einer Betriebsunterbrechung durch unkontrolliertes Einspielen neuer Patches in komplexen Umgebungen ist hoch. Daher ist der Verzicht auf eigene Qualitätsüberprüfungen nur in Ausnahmefällen zu empfehlen. Hier ist besonders hilfreich, wenn das Patch-Management die Möglichkeit zur kontrollierten Ausbringung auf Pilotinstallationen bietet. Per Policy können dann exemplarische Produktivrechner – zum Beispiel aus Marketing, Entwicklung und Finance – für den Patch-Test herangezogen werden. Unternehmen mit einem hohen Reifegrad der IT und strikten Standardisierungsanforderungen profitieren darüber hinaus von einer integrierten Patch-Revisionssicherheit. Soll eine definierte und abgenommene Plattform inklusive Patch-Status später reproduziert werden, bereitet das Auffinden der benötigten Patches oft erhebliche Schwierigkeiten. Patches werden in kurzen Intervallen von neuen Versionen abgelöst, für die Reproduktion sind aber die alten Patches erforderlich. enteo bietet deshalb die Möglichkeit, Systeme sowohl mit alten als auch mit neuen Patch-Katalogen zu scannen. Da Microsoft die alten Patch- Versionen zwar nicht mehr anzeigt, aber noch anbietet, lassen sich Systeme auch noch nach Jahren gemäß den Unternehmensstandards rekonstruieren.

Fazit

Durch die Integration des Patch-Managements in das IT Lifecycle Management ist es möglich, alle Phasen des Patch-Managements hochgradig zu automatisieren, von der Identifikation der Schwachstellen im Netzwerk über die Selektion relevanter Patches bis hin zur Qualitätskontrolle und Ausbringung. Sicherheitsverantwortliche erhalten so einen vollständigen Überblick über die Schwachstellen und den Sicherheitsstatus aller Systeme, sodass sie rechtzeitig zielgerichtete Maßnahmen ergreifen können. Darüber hinaus kann das Patch-Management in Übereinstimmung mit den Prozessen und Sicherheitsanforder-ungen des Unternehmens bei der individuellen Selektion relevanter Patches Unterstützung leisten und sowohl Download als auch automatisierte Verteilung kritischer Patches übernehmen. Zusätzliche Business Intelligence Module, wie sie von einigen Herstellern angeboten werden, fassen alle Informationen zu Schwachstellen, Patch-Stati und Zeitraum bis zur Ausbringung zusammen und bereiten diese als Entscheidungsgrundlage für das IT-Management auf – damit wird Patch-Management effizient, transparent und vorausschauend.

Autor: Stephan Glathe