Untersuchungen des FBI und der Carnegie Mellon University belegen: Über 90 Prozent aller Sicherheitsprobleme in Unternehmen sind auf Schwachstellen innerhalb von Programmen zurückzuführen, für die ein Patch zwar vorhanden, aber nicht installiert war. Im Falle von elektronischen Schädlingen wie SQL-Slammer, Blaster oder Sobig kann das verheerende Folgen haben, schlimmstenfalls komplette Netze lahm legen.

Doch häufig sind die IT-Abteilungen mit dem Verfolgen von Sicherheitswarnungen, dem Herunterladen und Installieren der bereitgestellten Bugfixes überfordert. Das ständige Patchen der vorhandenen Systeme ist arbeits- und zeitintensiv, viele IT-Organisationen schaffen es nicht, angesichts ihrer begrenzten Ressourcen mit dem nicht abreißenden Strom ständig neuer Ergänzungen Schritt zu halten. Erschwerend kommt hinzu, dass Unternehmen bei der hohen Zahl von Schwachstellen auf unterschiedlichen Systemen - schließlich betrifft dieses Thema nicht nur Anwendungen von Microsoft - abwägen müssen, in welchen Bereichen ihnen die meiste Gefahr droht, und dort als erstes Patches einspielen.

Anwender unter Druck

Ein weiteres Problem: Die Reaktionszeit für Unternehmen wird immer kürzer. Vom Bekanntwerden einer Schwachstelle bis zum Auftauchen eines Schadprogramms, das diese ausnutzt, vergeht immer weniger Zeit. Sicherheitsspezialisten wie Symantec sprechen in diesem Zusammenhang von einem Angriffsfenster. Zwischen dem Bekanntwerden der SQL-Sicherheitslücke und dem Auftauchen des Slammer-Wurms vergingen beispielsweise acht Monate - Blaster schlug dagegen schon nach knapp vier Wochen zu. Tom Patterson, Leiter Security Services Europa, Mittlerer Osten und Afrika bei Deloitte & Touche, fordert daher: "Unternehmen müssen Patch-Management zum wesentlichen Bestandteil ihrer Sicherheitspolitik machen."

Aufgrund der hohen Verbreitung von Microsoft-Systemen steht der Anbieter natürlich besonders im Kreuzfeuer der Kritik. Der Hersteller ist sich bewusst, dass die ständigen Patches Anwenderunternehmen viel Zeit und Mühe abverlangen und hat seine Strategie zur Verbesserung der Patch-Problematik in einem White Paper dargelegt. Demnach geht es dem Unternehmen langfristig darum, die Notwendigkeit für Patches überhaupt zu reduzieren, indem es die Anzahl der in neuer Software vorhandenen Schwachstellen gemäß der im Rahmen seiner Trustworthy-Computing-Initiative formulierten Maxime "Secure by Design" auf ein Minimum begrenzt. Werden doch einmal Patches benötigt, müssen diese sich möglichst ohne große Unannehmlichkeiten einsetzen lassen.



Vier Maßnahmen sollen helfen, dieses Ziel zu erreichen. So plant der Hersteller, die Qualität der Patches zu verbessern und ihr Verhalten zu standardisieren. Außerdem will Microsoft effektivere Tools für den Umgang mit Patches bereitstellen und seine Kunden besser informieren. Dazu wurden bereits die Security Bulletins überarbeitet. Zusätzlich zu den sehr technisch gehaltenen Informationen bietet Microsoft inzwischen auch leichter zu verstehende Anweisungen für technisch weniger versierte Anwender. Kunden können sich zudem anmelden, um via E-Mail automatisch über neu entdeckte Schwachstellen und Abhilfen benachrichtigt zu werden.

Einen speziellen Leitfaden zur Optimierung des Patch-Managements stellt Microsoft unter www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/patch/secpatch/default.asp bereit, um Anwendern bei konkreten technischen Problemen zu helfen. Laut Microsoft ist es nicht damit getan, bloß Patches anzubieten. Anwender benötigen zudem Werkzeuge, um diese verteilen und auf den vorhandenen Systemen installieren zu können.

Aus diesem Grund hat der Hersteller das kostenlose Tool "Software Update Services" (SUS) entwickelt. Die Kombination aus Client- und Server-Komponenten soll Administratoren automatisch über das Erscheinen neuer Patches auf dem Laufenden halten. Anschließend erhalten sie Unterstützung beim Herunterladen der benötigten Versionen, dem Testen und anschließenden Verteilen auf die betroffenen Rechner. In die gleiche Richtung zielt ein erweitertes Feature Pack für Microsofts "Systems Management Server" (SMS). Patch-Management-Funktionen sollen außerdem feste Bestandteile von SMS 2003 sein, dessen Erscheinen noch für dieses Jahr vorgesehen ist.