Patch-Management – von Anfang an richtig machen

David KelleherDavid Kelleher, Research and Communications Analyst bei GFI Software, über Patch-Aktualisierungen.

IT-Manager oder diejenigen, die in kleinen und mittleren Unternehmen für die IT verantwortlich sind, wissen, dass sie rund die Hälfte aller Sicherheitsprobleme lösen könnten, wenn sie regelmäßig Patch-Aktualisierungen für ihre Systeme und Softwarelösungen durchführen würden. Für diejenigen, die keine Patch-Management-Strategie in ihrem Unternehmen eingeführt und umgesetzt haben, kann dies eine anstrengende und zeitaufwändige Aufgabe sein.

Anzeige

Im Folgenden finden sich einige Tipps und Ratschläge, die dabei helfen, Patch-Management in den richtigen Zusammenhang zu stellen, die geeigneten Rahmenbedingungen zu schaffen und die passenden Maßnahmen umzusetzen.

1. Auf dem Laufenden bleiben

Es kann nur etwas repariert werden, wenn man weiß, dass es nicht mehr funktioniert. Deshalb sollten sich auch Mittelständler kontinuierlich über das Thema informieren. Abonnements von Security- und Patch-Newslettern der Hersteller eingesetzter Betriebssysteme und Software sind hier äußerst hilfreich.

2. Patches testen

Zwar ist es besser, einen nicht getesteten Patch einzuspielen als komplett darauf zu verzichten; im Idealfall sollte man die Patches jedoch vorab testen. Es sollen schließlich Probleme gelöst und nicht neue geschaffen werden – und man kann leider nie wissen, ob es zwischen dem neuen Patch und der Anwendung eines anderen Anbieters einen Konflikt gibt oder alles problemlos funktioniert.

3. Definition regelmäßiger Wartungsfenster

Patching ist von großer Bedeutung für die eigene IT-Infrastruktur. Mittelständler sollen ein regelmäßiges, monatliches Wartungsfenster definieren und konsequent daran halten. So können sich alle Mitarbeiter im Unternehmen danach richten. Dennoch sollte sich der IT-Verantwortliche die Möglichkeit vorbehalten, wichtige Security-Patches auch außerhalb der definierten Wartungsfenster einzuspielen – um sein Unternehmen beispielsweise vor einer aktuellen Zero-Day-Attacke zu schützen.

4. Aktualisierung des Betriebssystems

Alle im Einsatz befindlichen Betriebssysteme sollten immer auch mit den aktuellen Patches ausgestattet werden. Dies umfasst sowohl die eigentlichen Arbeitsplätze als auch die Server. Zudem sollte die Firmware der Firewalls, Router, Switches, Wireless Access Points sowie Netzwerkdrucker regelmäßig mit den aktuellen Patches versehen werden.

5. Aktualisierung der Anwendungen

An diesem Punkt wird eine ausgefeilte Lösung für das Patch-Management unverzichtbar. Um alle Anwendungen von Drittanbietern, die auf den eigenen Servern und Arbeitsplätzen installiert sind, aktuell zu halten, ist manuelles Patching leider absolut ungeeignet. Selbst wenn die Kollegen diese Programme im Arbeitsalltag nicht nutzen, heißt das nicht, dass sich der IT-Verantwortliche um diese Anwendungen auf seinen Servern nicht darum kümmern muss.

6. Bereithaltung eines Rollback-Plans

Auch der umfassendste Testplan kann nicht garantieren, dass jedes mögliche Szenario, jedes erdenkliche Zusammenspiel von Anwendungen und jede spezifische Konfiguration erfasst und abgedeckt sind. Deshalb sollte die Möglichkeit bestehen, den Systemzustand vor dem Patching wiederherzustellen. Auch hier kann eine Lösung für das Patch-Management helfen und bei den Installationsprozessen unterstützen.

7. Unterstützung des Managements einfordern

Patching ist keine Option. Auch die Chefetage eines Mittelständlers sollte das Patching als einen wichtigen Bestandteil des Netzwerkmanagements unterstützen, fördern und klar stellen, dass dies eine notwendige und keine optionale Aufgabe ist. Falls es dem IT-Verantwortlichen an Unterstützung mangelt, muss er diese einfordern oder eine Lösung finden, die ihn entlastet – wie beispielsweise ein automatisiertes Patch-Management in der Cloud anstelle einer In-House-Lösung, für deren Wartung er sonst ebenfalls zuständig wäre.

8. Compliance belegen

Lösungen für das Patch-Management zeichnen alle Aktivitäten und Tätigkeiten auf und können – automatisiert oder auf Anforderung – Reports generieren, die den Status aller Systeme im Netzwerk aufzeigen. Diese Reports sollten genutzt werden, um die Unternehmensführung mit allen relevanten Informationen zu versorgen und zu belegen, dass alle Systeme im Netzwerk auf dem aktuellen Stand sind und den eigenen Patching-Richtlinien entsprechen.

9. Analyse der Abweichungen

Falls ein Report aufzeigt, dass ein System im Netzwerk nicht mit den aktuellen Patches ausgestattet ist, kann dies umgehend geprüft werden. So lässt sich herausfinden, warum die Patch-Aktualisierung misslungen ist, folgend das Problem gelöst oder der Patch gegebenenfalls manuell eingespielt werden. Eine Lösung für das Patch-Management kann dem Verantwortlichen dabei einen Großteil der Arbeit abnehmen.

Patching ist nicht irgendeine beliebige Aufgabe auf der täglichen To-Do-Liste des IT-Verantwortlichen. Es hat höchste Priorität für jeden, der für zwei, 50 oder auch mehr Systeme verantwortlich ist und dem die Sicherheit des Unternehmensnetzwerks am Herzen liegt. Die angesprochenen Tipps und Ratschläge in Kombination mit einer umfassenden Lösung für das Patch-Management wie etwa GFI LanGuard von GFI Software können einen hohen Automatisierungsgrad schaffen und so die Arbeit merklich vereinfachen. Gleichzeitig sinken die Sicherheitsrisiken enorm im Vergleich zu einem Unternehmensnetzwerk mit Betriebssystemen und Anwendungen, die nicht mit den aktuellen Patches und Softwareversionen ausgestattet sind.

David Kelleher, Research and Communications Analyst bei GFI Software

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.