Fehleinschätzungen durch "blindes Vertrauen"

Vor diesem Hintergrund erachtet Trend-Micro-CTO Genes das "blinde Vertrauen" der Sicherheitsverantwortlichen in die häufig irreführenden Erfolgsmeldungen ihrer automatischen Patch-Management-Systeme als äußerst riskant. Daraus resultierende Fehleinschätzungen im Hinblick auf den Sicherheitsstatus des Gesamt-IT-Systems sind dem Sicherheitsexperten zufolge nur durch einen aktiven Qualitätssicherungsprozess und ein effektives Monitoring zu vermeiden.

Organisatorische Defizite

Ähnlich sieht das Peter Graf, Geschäftsführer des Security-Dienstleisters Ampeg: "Nach unseren Erkenntnissen waren und sind selbst Unternehmen, die den Conficker-Patch rechtzeitig installiert haben, zu keinem Zeitpunkt sicher, wenn sie nicht den gesamten Update-Prozess systematisch überprüft und alle Sicherheitslücken im System geschlossen haben." Dass das Controlling der Update-Prozesse von Patches und Malware-Patterns hierzulande offenbar noch in den Kinderschuhen steckt, verdeutlicht eine Umfrage, die das Marktforschungsinstitut Innofact 2008 im Auftrag des Security-Dienstleisters unter 47 IT-Leitern und Chief Security Officers (CSOs) deutscher Großunternehmen vorgenommen hat. Zwar sind sich demnach rund 70 Prozent der Sicherheitsverantwortlichen durchaus bewusst, dass schon um wenige Stunden verzögerte Pattern- und Patch-Rollouts eine zusätzliche Bedrohung sein können. Parallel dazu räumte allerdings gut jeder zweite befragte Konzern ein, dass manche Systeme im eigenen Unternehmen überhaupt nicht mit Updates versorgt werden. Mehr als ein Drittel der IT-Verantwortlichen verlässt sich eigenen Angaben zufolge beim Rollout ganz auf die automatischen Patch-Management-Systeme in der Überzeugung, die Sicherheit ihres Netzes sei auch ohne Kontrolle des Update-Erfolgs gewährleistet. Laut Studie überprüfen insgesamt fast 47 Prozent die von ihren Patch-Management-Systemen gemeldeten Resultate nur stichprobenartig oder gar nicht.