Die meisten Sicherheitsprobleme entstehen durch die Ausnutzung bekannter Schwachstellen, für die Hersteller wie Microsoft oder Sun in der Regel schon Software-Updates (Patches) zur Verfügung gestellt haben. Das halten die Marktforscher Charles Rutstein und Galen Schreck bei Forrester für erwiesen. Trotzdem stellen Anwender das Stopfen bekannter Sicherheitslücken oft hintenan.

Das hat verschiedene Gründe: Die Ausrüstung in einer typischen DV-Abteilung - vom Router über Betriebssysteme bis zu den Applikationen - deckt ein weites Feld ab. So kann die Aktualisierung der Systeme mit Patches bei hundert Plattformen leicht zu einer sehr umfangreichen und zeitraubenden Aufgabe werden. Außerdem birgt das Aufspielen der Patches ein gewisses Risiko: Fehlerhafte Updates machen zuvor laufende Systeme unter Umständen instabil. Viele Administratoren, die einmal so etwas erlebt haben, lassen künftig die Hände von solchen Patches, soweit das überhaupt möglich ist. Nicht zuletzt erscheint den Verantwortlichen die Suche nach Updates oft so mühsam, dass sie stattdessen lieber ein neues System entwerfen.

Eine Patch-Management-Software nimmt dem Administrator einen Teil der ungeliebten Arbeit ab. In einem großen Unternehmen kann es schon schwierig sein, überhaupt alle Server aufzuspüren. Eine Überprüfung von deren Patch-Status nimmt unter Umständen Wochen in Anspruch.

Tools für Automatisierung

Als Beispiel für ein Produkt, das alle Systeme im Netz auf fehlende Patches scannt, nennt Forrester "Update Expert" von St. Bernards. Sind die verwundbaren Systeme identifiziert, müssen sich die Administratoren auf die Suche nach den richtigen Patches begeben. Hier kann zum Beispiel ein Tool wie "HFNetChkPro" von Shavlik helfen, das allerdings nur Microsofts Website überwacht und automatisch benötigte Patches einspielt. Lediglich das Testen auf Stabilität lässt sich mit heutigen Werkzeugen noch nicht automatisieren. Jedoch empfiehlt es sich, einen Patch zunächst auf wenigen Systemen zu installieren und deren Performance zu beobachten, bevor man die ganze Infrastruktur damit versorgt.

Fazit: Sicherheit muss nicht teuer sein. Für CIOs haben die Marktforscher drei Ratschläge parat. Erstens sollten sie unbedingt eine Patch-Management-Software einsetzen. Zweitens können es sich nur wenige Firmen leisten, identische Test-Server vorzuhalten. Daher sollten sie die Produktionssysteme wenigstens mit einer Software ausstatten, die Performance-Probleme schnell erkennt, um den Patch gegebenenfalls wieder entfernen zu können. Drittens: Um die Administratoren zu motivieren, können CIOs das Erreichen eines aktuellen Patch-Status in dessen Leistungsbeurteilung aufnehmen. (sra)

Abb: Weltweite Umsätze mit Sicherheitssoftware

Trotz knapper Budgets prognostizieren die Marktforscher einen weiteren Anstieg der Ausgaben für Sicherheitssoftware. Quelle: Gartner Dataquest