Thought Leadership
Komfort und Sicherheitsbedrohungen sind die zwei Seiten der New-Work-Medaille. Während dezentrale Arbeitsplätze heute selbstverständlich sind, ringen IT-Kräfte damit, sie möglichst unverwundbar zu gestalten – und kommen mit dem Patchen nicht hinterher. Cyberkriminelle reiben sich derweilen die Hände und schlagen immer wieder zu. Dabei können automatisierte Endpunkt-Management- und Sicherheitslösungen solche Attacken verhindern.
Des einen Freud ist des anderen Leid: Mitarbeitende genießen die Flexibilität der hybriden Arbeitsmodelle, gleichzeitig hechten IT-Teams von einer Herausforderung zur nächsten, um die teilweise tausenden Endpoints mit mehreren Dutzend Anwendungen unter Kontrolle zu halten. Dabei sind ihnen die Cyberkriminellen meist einen Schritt voraus, so dass sich IT-Teams heute eher auf Schadensbegrenzung beschränken anstatt aktiv Angriffe zu verhindern.
Dabei gibt es mittlerweile moderne Tools für Endpunkt-Management, die das Problem der Sichtbarkeit mithilfe von Peer-to-Peer-Infrastrukturen und Cloud-Relays lösen. Solche modernen Schwachstellen-Management-Lösungen verbinden alle Endgeräte eines Unternehmens zu einem übersichtlichen P2P-Netzwerk. Diese engmaschige Verknüpfung der Rechner sorgt dafür, dass keine Systeme bei einer Aktualisierung durchs Raster fallen. Die Komponenten in der Cloud wiederum garantieren einen sicheren Verbindungsaufbau zu den Management-Servern, selbst wenn die Rechner nicht via VPN ins Firmennetzwerk eingebunden sind.
Gerätesichtbarkeit verschafft Überblick
Diese Funktionalität ist ein großer Vorteil, denn wenn Mitarbeitende viele Cloud-Services nutzen, brauchen sie nur noch selten eine Verbindung zum Firmennetz. Als Konsequenz erreichen Unternehmen die entfernten Endgeräte nicht mehr zuverlässig, um Schwachstellen-Scans durchzuführen und Software zu aktualisieren. Hier schafft ein Schwachstellen-Management Abhilfe, denn die nötigen Scans und Updates müssen mit einer solchen Lösung gar nicht mehr wie üblich über WAN- und VPN-Verbindungen laufen, wo sie die Leitungen verstopfen. Stattdessen entlasten die P2P-Infrastrukturen WAN-Verbindungen, die in der neuen Arbeitswelt schnell zum Flaschenhals werden. Sind die Endpoints via P2P verbunden, reicht es, wenn wenige Systeme sich die Patches initial von zentralen Servern holen. Die WAN-Belastung bleibt dadurch gering. Anschließend verteilen die Endpoints die Update-Pakete zuverlässig untereinander. Dabei nutzen sie lediglich nicht benötigte Rechner-Ressourcen, um die Mitarbeiter nicht im Arbeitsalltag zu behindern. Angenehmer Nebeneffekt: Unternehmen kommen künftig mit einer viel kleineren Zahl von Update-Servern als bisher aus, was für erhebliche Kosteneinsparungen sorgt.
Die Gerätesichtbarkeit durch das übersichtliche P2P-Netzwerk sorgt für Transparenz, weil Administratoren den Überblick darüber behalten, welche Rechner die Sicherheitsaktualisierungen schon erfolgreich heruntergeladen und installiert haben. Dashboards liefern in Echtzeit detaillierte Einblicke in die Geräte- und Anwendungslandschaft. Die Tools zeigen auch an, welche Systeme veraltete Software-Versionen aufweisen, welche Anwendungen das größte Sicherheitsrisiko darstellen und wie die Verteilung der Patches läuft. So können IT-Teams gezielt eingreifen und verlieren keine Zeit.
Automatisiertes Patchen spart Zeit
Ist die Device Visibility erst einmal erreicht, ist eine Patch-Automatisierung der nächste logische Schritt. Das Erkennen und Beheben von Sicherheitslücken nimmt immer noch viel zu viel der wertvollen Zeit der IT-Spezialisten in Anspruch. Alle Systeme auf dem neuesten Stand zu halten und verfügbare Patches zügig einzuspielen ist eine Mammutaufgabe. Obwohl einige Unternehmen in Schwachstellen-Management-Lösungen investiert haben, sind viele davon einfach nicht mehr zeitgemäß, weil sie viel Handarbeit erfordern und die Infrastrukturen enorm belasten. Zum einen scannen diese Tools die Endgeräte über das Netzwerk, was bei tausenden Systemen einiges an Bandbreite beansprucht. Außerdem liefern sie meist nur eine unvollständige Liste mit den entdeckten Schwachstellen, die Mitarbeiter zu allem Überfluss manuell abarbeiten müssen. IT-Spezialisten, die sich eigentlich wichtigen Transformationsprojekten widmen sollten, sind dann damit beschäftigt, das Risiko einzelner Sicherheitslücken für das Unternehmen zu bewerten, die Verfügbarkeit von Updates und Patches zu prüfen und deren Installation zu organisieren.
Viel effizienter ist eine automatisiertes Patch-Management. Dieses muss aber wirklich komplett sein und nicht, wie viele der angebotenen Lösungen, nur einige Schritte automatisieren, so dass Administratoren doch wieder aktiv werden müssen. Vielmehr geht es um eine echte Automatisierung, die sich von einem gut gepflegten Metadaten-Stream bis zur Rückmeldung über die erfolgreiche Installation der Updates auf allen betroffenen Systemen erstreckt und dabei eine maximale Flexibilität bei der Behandlung der einzelnen Patches bietet. Nur so lassen sich individuelle Testszenarien und Rollout-Strategien abbilden, damit Unternehmen gezielt bestimmte Endpoint-Typen, Benutzergruppen und Abteilungen oder verschiedene Anwendungen und Anwendungskategorien aktualisieren können.
Individuelle Workflows erhöhen die Sicherheit
Idealerweise sind für das Erstellen automatisierter Patch-Abläufe keine speziellen Skriptsprachen- und Programmierkenntnisse notwendig, denn für die Einarbeitung fehlt in IT-Abteilungen oft die Zeit. Optimal sind Tools mit grafischen Oberflächen. Hier können auch User mit weniger Know-how Workflows aus vorgegebenen und selbst angelegten Elementen wie Gruppen von Endpoints oder Benachrichtigungen zusammenbauen. Sicher dauert es seine Zeit, Templates für sämtliche Szenarien anzulegen, doch der initiale Aufwand lohnt sich. IT-Abteilungen sparen langfristig viel Zeit. Sobald ein Patch verfügbar ist, läuft künftig beispielsweise basierend auf der betroffenen Anwendung oder des Risikofaktors der Schwachstelle der richtige Workflow an. So kann etwa automatisch ein Ticket angelegt und das Update auf geeigneten Testsystemen installiert werden, sodass Administratoren es nur noch abschließend freigeben müssen. Der Rollout erfolgt dann in vordefinierten Phasen.
Wenn Prüf-, Versorgungs- und Verwaltungsaufgaben hochautomatisiert ablaufen, haben IT-Abteilungen eine neue Vision des Netzwerkes und neue Handlungsspielräume. Beispielsweise können sie kritische Updates mit Priorität verteilen, etwa mit weniger Tests, Freigaben und Phasen beim Rollout, sodass alle Endpunkte die Aktualisierungen schnellstmöglich erhalten. Das Sammeln von Patches und ein Aufspielen zu festen Terminen, um Anwender im Tagesgeschäft möglichst wenig zu stören, ist ebenfalls ein Gewinn. Auch, wenn es sehr ambitioniert klingt: Eine Patch-Automatisierung sollte das Ziel haben, dass das System am Ende ohne menschliche Eingriffe funktioniert. Dafür muss die Automatisierungslösung vor allem Flexibilität bieten, sodass IT-Abteilungen einmalig automatisierte Abläufe für jede Art von Patch oder Anwendung und für jede gewünschte Rollout-Strategie erstellen können, die die Software dann autonom ausführt. So bleibt den Administratoren nur noch die Kontrollfunktion.
Automatisiertes Endpunkt-Management mit einer P2P-Infrastruktur entlastet Unternehmen beim Managen einer ständig steigenden Zahl von stationären und mobilen Devices. Die verantwortlichen IT-Experten können durch dieses Tool schwerwiegende Sicherheitslücken ohne große Verzögerungen schließen, Cyberrisiken minimieren und Sicherheitsfallen bei Endpunkten entschärfen. Mit manuellen Abläufen dauert das Patchen hingegen häufig mehrere Tage – zu lange, wenn man bedenkt, wie schnell Cyberkriminelle bekannte Schwachstellen heutzutage ausnutzen.
