computerwoche.de

Security

Ratgeber Patch-Management

Sicherheitslücken ökonomisch fixen

22.09.2011
Von Michael Eckert

Die richtige Patch-Strategie

Effizienz der Patch-Strategien: Mit der "Top-10 by risk" ist man schneller im sichereren Bereich. (Quelle: Secunia)
Effizienz der Patch-Strategien: Mit der "Top-10 by risk" ist man schneller im sichereren Bereich. (Quelle: Secunia)
Foto: Secunia

Für 65 Prozent aller Sicherheitslücken auf einem typischen Endpunkt war laut Secunia am Tag der Schwachstellenpublikation bereits ein Patch verfügbar. Jede Sicherheitslücke in jedem verwendeten Programm sofort zu beseitigen, scheitert in IT-Abteilungen aber am damit verbundenen Aufwand. Wer jedoch weiß, was er bevorzugt Patchen muss, macht seine IT mit vertretbarem Aufwand deutlich sicherer:

  • In einem typischen Beispiel-Portfolio lässt sich schnell eine rechnerische Risikosenkung um 80 Prozent erzielen. Dazu muss man die 12 kritischsten Programme oder die 37 häufigsten Programme patchen.

  • 30 Prozent der Programme, die in einem Jahr als sicherheitskritisch eingestuft werden, waren dies im Vorjahr oder Folgejahr nicht. Secunia bezeichnet das als "moving Target".

Es empfiehlt sich also, eine Strategie mit der Grundeinstellung "weniger ist mehr" und "Flexibilität beim Patchen". Ein Vergleich unterschiedlicher Vorgehensweisen mit begrenzten Ressourcen zeigt, dass eine intelligente Patching-Strategie ein wirksamer Ansatz ist um Risiken durch Sicherheitslücken zu senken.

Risikominimierung durch Patch-Strategie: Das Patchen der meist gefährdeten Programme (dunkelblau) deckt 71 Prozent des Gesamtrisikos (rot) ab. (Quelle: Secunia)
Risikominimierung durch Patch-Strategie: Das Patchen der meist gefährdeten Programme (dunkelblau) deckt 71 Prozent des Gesamtrisikos (rot) ab. (Quelle: Secunia)
Foto: Secunia

Secunia hat dazu Langzeitberechnungen durchgeführt. Basierend auf einem Software-Portfolio von 200 Programmen wurde untersucht, wie sich die Patch-Strategie "Top-10 by share" (die 10 verbreitesten Programme) gegen "Top-10 by risk" (patchen der 10 am meisten gefährdeten Programme) schlägt. Bei "Top-10 by risk" mussten über die sechs Jahre Beobachtungszeitraum insgesamt 18 Programme berücksichtigt werden (moving Target).

Das Ergebnis fällt deutlich aus, denn das Patchen der meist gefährdeten Programme berücksichtigt 71 Prozent des Gesamtrisikos, während durch die Pflege der beliebtesten Software nur 31 Prozent abgedeckt sind. Im Beispiel des 200er Software-Portfolios bedeutet das 2249 zu 1077 geflickte Sicherheitslücken in sechs Jahren.

Die Herausforderung bei der "Top-10 by risk"-Strategie für die IT-Abteilung ist, dass man immer die am meisten gefährdeten Programme aus seinem Portfolio kennen muss. Allerdings ist ein manueller Ansatz dafür angesichts des Aufwands kaum tauglich. Dazu bieten sich Tools und Services der Sicherheitsanbieter an, um ein Inventory der vorhandenen Programme zu erstellen und mit den Datenbanken der Security-Dienstleister abzugleichen. Allerdings ist trotzdem noch manuelle Kontrolle erforderlich.