Patches: Automatisch auf die Clients

17.05.2005
Von Horst Droege
Tools für Installation, Testen und Ausbringen von Software-Updates müssen besondere Anforderungen erfüllen.

Hier lesen Sie ...

  • warum Patch-Management mehr als nur eine andere Art der Softwareverteilung ist;

  • dass es neben Spezial-Tools eine Reihe von Softwareverteilungslösungen gibt, die um Funktionen für Patch-Management erweitert wurden;

  • worauf Anwender bei der Auswahl einer entsprechenden Lösung achten sollten.

Bei einer Online-Umfrage der COMPUTERWOCHE im vergangenen Jahr beklagte mehr als die Hälfte der Antwortenden ein nicht vorhandenes oder unzulängliches Patch-Management im eigenen Unternehmen.
Bei einer Online-Umfrage der COMPUTERWOCHE im vergangenen Jahr beklagte mehr als die Hälfte der Antwortenden ein nicht vorhandenes oder unzulängliches Patch-Management im eigenen Unternehmen.

Das Thema Patch-Management ist in den letzten zwei Jahren immer mehr in den Mittelpunkt der Diskussionen über die Sicherheit von PCs und Servern gerückt. Trotzdem ist ein automatisiertes Verteilen von Software-Updates auch heute noch nicht in jedem Unternehmen selbstverständlich. Während schon seit Jahren in Softwareverteilung und weitere Desktop-Management-Werkzeuge investiert wird, erfolgt das Patchen oft noch in Handarbeit oder wird gar dem Endanwender überlassen.

Um Updates auf die entsprechenden Clients zu verteilen, bieten sich mehrere Möglichkeiten an. Der einfachste, aber wohl am wenigsten erfolgversprechende Weg ist die Nutzung der "Windows Update Services" durch die Endanwender selbst. Das Problem dabei: Dazu sind administrative Rechte auf dem lokalen Rechner erforderlich, außerdem ist keinerlei zentrale Steuerung und Überwachung möglich. Eine rasche Absicherung der PCs gegen Angriffe auf bekannte Schwachstellen lässt sich auf diese Weise weder umsetzen noch nachvollziehen. Auch die Aktualisierung der Server wird so zum riskanten Spiel mit der Sicherheit.

Umfassenden Schutz kann nur eine automatisierte Verteilung von Patches mit vorgeschalteten Benachrichtigungs- und Testverfahren bieten. Sind diese im Einsatz oder geplant, sollte der Entscheider auf einige Mindestvoraussetzungen achten. Das automatisierte Erkennen und Mitteilen von neuen Patches des Betriebssystem- oder Anwendungsherstellers kann beispielsweise überlebenswichtig sein, ist es doch die Voraussetzung für eine schnelle Reaktion. Ferner sollten Software-Updates ohne Zutun des Anwenders heruntergeladen, sofort getestet und anschließend auf die betroffenen Systeme verteilt werden. Zudem ist das Zusammenspiel mit der bereits vorhandenen Infrastruktur und dem womöglich vorhandenen System-Management sehr wichtig. Beispielsweise können nicht alle Lösungen gleich gut standortübergreifend arbeiten, oder sie setzen eine komplett eigene Infrastruktur und Administration voraus, was sehr zeitaufwändig und teuer ist.