Was Patch-Management heute leisten muss

Patch as patch can

Morten R. Stengaard ist Director of Product Management and Quality Assurance bei Secunia.
Private Geräte im Unternehmen stellen auch das Patch-Management vor neue Herausforderungen. Sicherheitslösungen in diesem Bereich müssen intelligenter werden, meint Morten Stengaard, Produktmanager beim dänischen Patch-Management-Anbieter Secunia. Er erklärt, warum die Lösungen seines Unternehmens bei Anwendern so erfolgreich sind.
Die Zahl der Schwachstellen in Software hat sich in den vergangenen Jahren vervielfacht, erst 2012 gab es einen leichten Rückgang.
Die Zahl der Schwachstellen in Software hat sich in den vergangenen Jahren vervielfacht, erst 2012 gab es einen leichten Rückgang.
Foto: Secunia

In 87 Prozent der deutschen Unternehmen nutzt mindestens die Hälfte der Mitarbeiter eigene mobile Geräte, so eine aktuelle Studie von Avanade. Weltweit bringen in 60 Prozent der Firmen die meisten Kollegen ihre eigenen Smartphones und Tablets an den Arbeitsplatz mit. Damit ist Deutschland international ein Vorreiter von "Bring your own device". Gleichzeitig erkennt über die Hälfte der deutschen Firmen, dass der Trend auch zu zusätzlichen Herausforderungen führt, vor allem für die IT-Abteilung.

Aktuelle Gefahren

86 Prozent aller Schwachstellen, die im Jahr 2012 in den 50 meistgenutzten Programmen entdeckt wurden, stammten von Drittanbieter-Software (Nicht-Microsoft-Programme), 8,5 Prozent von Microsoft-Programmen und 5,5 Prozent von Betriebssystemen.
86 Prozent aller Schwachstellen, die im Jahr 2012 in den 50 meistgenutzten Programmen entdeckt wurden, stammten von Drittanbieter-Software (Nicht-Microsoft-Programme), 8,5 Prozent von Microsoft-Programmen und 5,5 Prozent von Betriebssystemen.
Foto: Secunia

Die größte Gefahr geht von der mangelnden Sicherheit der privaten Endgeräte aus. In Deutschland werden beliebte Programme wie Adobe Flash Player, Sun Java oder Apple QuickTime nicht regelmäßig aktualisiert. So zumindest das Ergebnis einer Software-Analyse von Secunia, die auf der Basis von weltweit 6,1 Millionen privaten Nutzern erhoben wurde. Die drei genannten Programme sind auf einem Viertel der Rechner nicht gepatcht und erhöhen so das Angriffsrisiko. Der Länderbericht nennt auch die Ursache für die Nachlässigkeit: Patchen ist aufwändig. Wer sämtliche bekannten Sicherheitslücken auf einem deutschen Durchschnittscomputer schließen wollte, müsste 25 Update-Prozeduren beherrschen und diese regelmäßig vornehmen. Die Installation von Microsoft-Patches allein genügt dabei nicht: 70 Prozent aller bekannten Schwachstellen werden durch Drittanbieter-Programme verursacht, von denen einige der bei Anwendern beliebtesten nicht einmal mehr durch ihre Anbieter gepflegt werden. Dazu gehören etwa Adobe Shockwave Player 10, Mozilla Firefox 14 oder Microsoft Word 2000.

Die Kombination aus nicht aktualisierter Software und einem hohen Anteil an Mitarbeitern, die ihre privaten Endgeräte in das Unternehmen mitnehmen, ist sehr gefährlich. Zudem hat eine aktuelle Studie von Cisco ermittelt, dass Mitarbeiter nicht nur ihre Geräte, sondern auch private Anwendungen am Arbeitsplatz nutzen - wie etwa soziale Netzwerke, cloud-basierte E-Mail und Instant Messaging. Deren oft mangelhafte Sicherheitseinstellungen gefährden die IT-Infrastruktur in Unternehmen zusätzlich.

Die Vielfalt der Geräte, Betriebssysteme und Anwendungen macht es IT-Administratoren unmöglich, sämtliche Patch-Mechanismen manuell vorzunehmen. Schließlich sind die meisten Anwender bereits mit ihren Privat-PCs überfordert - wie lässt sich dann erst in einem großen Unternehmen für eine umfassende Patch-Verwaltung sorgen?

Schwachstellen entdecken und analysieren

Der "Corporate Security Inspector" von Secunia hilft Unternehmen beim intelligenten Patch-Management.
Der "Corporate Security Inspector" von Secunia hilft Unternehmen beim intelligenten Patch-Management.
Foto: Secunia

Abhilfe kann eine Kombination aus Schwachstellen-Intelligenz und Schwachstellen-Scanning schaffen, wie sie auch in den Secunia-Produkten "Personal Software Inspector" (PSI) für Privatanwender und "Corporate Security Inspector" (CSI) für Unternehmen im Einsatz ist. Sicherheitslücken im Betriebssystemen und Drittprogrammen lassen sich hier durch die vier Bausteine Vulnerability Intelligence Management, Vulnerability Scanning, Patch-Erstellung und Patch-Management gezielter beheben. Die Sicherheitslösungen müssen mehr als 40.000 Schad-Anwendungen - neben Microsoft- und Drittanbieter-Programmen auch Software unter den Betriebssystemen Red Hat Enterprise Linux, Google Android oder Mac OS X - identifizieren und analysieren. Großer Vorteil von Anbietern wie Secunia: ein Analyse-Team im eigenen Haus, das ständig nach Schwachstellen in den Programmen mit Hilfe aktueller Scan-Technologien sucht sowie Reports von anderen Anbietern berücksichtigt. Schließlich werden pro Jahr nach aktuellen Schätzungen etwa 10.000 neue Schwachstellen in Anwendungen identifiziert, rund die Hälfte davon können als "kritisch" eingestuft werden.

Fließen diese Erkenntnisse in den Scan-Vorgang ein, lassen sich die Applikationen auf sämtlichen Servern und Endpunkten des Unternehmens auf Sicherheitslücken hin untersuchen - zumindest soweit das IT-Inventar erfasst und damit verwaltbar ist. Die Lücken werden anhand eines Datei-Signatur-Verfahrens erkannt und Programm für Programm hinsichtlich ihrer Gefährlichkeit für das Unternehmen aufgeschlüsselt. Die Sicherheitsverantwortlichen erhalten so an einer einzigen Konsole einen detaillierten Überblick über sämtliche identifizierten Schwachstellen und ihre möglichen Folgen für das Unternehmen.

Um die Schwachstellen besser priorisieren zu können, hat sich eine Klassifizierung in drei Kategorien bewährt:

  • geringes Angriffsrisiko für kleinere, weniger komplexe Anwendungen;

  • mittleres Angriffsrisiko für durchschnittlich gefährdete Anwendungen;

  • hohes Angriffsrisiko für komplexe oder häufig eingesetzte, unternehmenskritische Anwendungen.

Patches entwickeln und verwalten

Um für künftige Bedrohungen gewappnet zu sein, reicht es meist nicht, nur auf Patches der Hersteller zu warten und diese dann einzuspielen. Unternehmen, die auf Software "Marke Eigenbau" setzen, müssen Patches auch selbst erstellen und auf ihre individuelle IT-Umgebung verteilen können. Hier helfen Regelsets für das Scannen von selbstentwickelten Programmen, Treibern und Plug-ins, die ebenfalls in die Patch-Management-Lösung implementiert werden sollten. Erst dann erhalten Sicherheitsverantwortliche Aufschluss darüber, auf welchen Servern und Endpunkten die jeweilige Spezial-Software installiert ist und können die Patches entsprechend installieren.

Darüber hinaus ist auf eine umfassende Integration des Patch-Management-Moduls in übergeordnete Deployment-Systeme zu achten - vor allem in häufig genutzte wie Windows Server Update Services (WSUS), Microsoft System Center Configuration Manager (SCCM) und die Altiris Deployment Solution. Diese Einbindung macht das Leben für die IT-Abteilung leichter, denn sie vereinfacht und beschleunigt die Installation von Sicherheits-Updates, unabhängig von den genutzten Deployment-Systemen. Sämtliche Patches, auch die zur Beseitigung der Schwachstellen, können dann aus der gewohnten Oberfläche des Deployment-Systems heraus auf Server und Endpunkte verteilt werden. Hält die Sicherheitslösung zusätzlich Software Development Kids (SDK) vor, lässt sich das Management von Security Updates auch an andere Client-Management-Systeme übertragen und von dieser Konsole aus vornehmen. (sh)