Software-Programmierfehler stellen in IT-Sicherheitssystemen eine potentielle Gefahrenquelle dar. Sie sind beliebte Angriffsziele von Hackern. Die Eindringlinge versuchen dauernd in Systeme einzudringen. Hierfür verwenden sie verschiedene selbständig ausgeführten Attacken auf die Sicherheitsmaßnahmen. IT-Verantwortliche wehren sich indem sie die Sicherheitslücken mit Korrekturauslieferungen entfernen und so den Angreifern das Objekt der Begierde entziehen.
Der IT-Sicherheitsdienstleister Secunia testete verschiedene Bugfix-Praktiken, um herauszufinden welche am effektivsten sind. Das Ergebnis stellt der Dienstleister in seinem Halbjahresbericht 2011 vor. Darin sind auch Maßnahmen enthalten, die einen Schutz vortäuschen.
Der Bericht befasst sich vorrangig mit IT-Infrastrukturen in Unternehmen, die sich auf Microsoft Betriebssysteme stützen. Laut eines Auszugs:
-
Administratoren eines Betriebs mit 1.000 Microsoft-Applikationen übersehen beim Flicken von Software-Sicherheitslöchern einen Großteil der Programmierfehler. 77,5 Prozent der Lücken bleiben bestehen.
-
Software von Drittherstellern (keine Microsoft-Programme) lassen 69 Prozent der repräsentativen Sicherheitslücken offen.
IT-Verantwortliche benötigen eine Sicherheitsstrategie, die mehr als "nur" Sicherheitspatches von Microsoft berücksichtigt, um das Risiko gering zu halten.
Die richtige Patch-Strategie
Für 65 Prozent aller Sicherheitslücken auf einem typischen Endpunkt war laut Secunia am Tag der Schwachstellenpublikation bereits ein Patch verfügbar. Jede Sicherheitslücke in jedem verwendeten Programm sofort zu beseitigen, scheitert in IT-Abteilungen aber am damit verbundenen Aufwand. Wer jedoch weiß, was er bevorzugt Patchen muss, macht seine IT mit vertretbarem Aufwand deutlich sicherer:
-
In einem typischen Beispiel-Portfolio lässt sich schnell eine rechnerische Risikosenkung um 80 Prozent erzielen. Dazu muss man die 12 kritischsten Programme oder die 37 häufigsten Programme patchen.
-
30 Prozent der Programme, die in einem Jahr als sicherheitskritisch eingestuft werden, waren dies im Vorjahr oder Folgejahr nicht. Secunia bezeichnet das als "moving Target".
Es empfiehlt sich also, eine Strategie mit der Grundeinstellung "weniger ist mehr" und "Flexibilität beim Patchen". Ein Vergleich unterschiedlicher Vorgehensweisen mit begrenzten Ressourcen zeigt, dass eine intelligente Patching-Strategie ein wirksamer Ansatz ist um Risiken durch Sicherheitslücken zu senken.
Secunia hat dazu Langzeitberechnungen durchgeführt. Basierend auf einem Software-Portfolio von 200 Programmen wurde untersucht, wie sich die Patch-Strategie "Top-10 by share" (die 10 verbreitesten Programme) gegen "Top-10 by risk" (patchen der 10 am meisten gefährdeten Programme) schlägt. Bei "Top-10 by risk" mussten über die sechs Jahre Beobachtungszeitraum insgesamt 18 Programme berücksichtigt werden (moving Target).
Das Ergebnis fällt deutlich aus, denn das Patchen der meist gefährdeten Programme berücksichtigt 71 Prozent des Gesamtrisikos, während durch die Pflege der beliebtesten Software nur 31 Prozent abgedeckt sind. Im Beispiel des 200er Software-Portfolios bedeutet das 2249 zu 1077 geflickte Sicherheitslücken in sechs Jahren.
Die Herausforderung bei der "Top-10 by risk"-Strategie für die IT-Abteilung ist, dass man immer die am meisten gefährdeten Programme aus seinem Portfolio kennen muss. Allerdings ist ein manueller Ansatz dafür angesichts des Aufwands kaum tauglich. Dazu bieten sich Tools und Services der Sicherheitsanbieter an, um ein Inventory der vorhandenen Programme zu erstellen und mit den Datenbanken der Security-Dienstleister abzugleichen. Allerdings ist trotzdem noch manuelle Kontrolle erforderlich.
Was wie schnell patchen?
Bevor ein Patch im Unternehmen ausgerollt wird, ist in der Regel ein Test auf Inkompatibilitäten und anderen Auswirkungen auf die bestehende Software-Infrastruktur angesagt. Schließlich soll der Software-Flicken nicht für zusätzliche Kosten durch IT-Ausfall und Support-Aufwand sorgen.
Auf der anderen Seite erhöht sich mit jedem Tag, an dem bekannte Sicherheitslücken unbehandelt bleiben auch das Risiko, dass Eindringlinge genau das ausnutzen. Der dadurch entstehende Schaden, beispielsweise durch Datenverlust oder Ausfall wichtiger Systeme, kann leicht horrende Kosten verursachen,
Warten und vorher testen oder möglichst schnell patchen?
Auch durch eine sorgfältige Testprozedur können Sie nicht zu 100 Prozent sicherstellen, dass irgendwo Unverträglichkeiten auftreten. In der Regel muss außerdem beim Testen irgendwann ein Schlussstrich gezogen werden, der ungetestete Rest verbleibt als potenzielles Risiko. Das ist bei der Kostenbetrachtung zu berücksichtigen.
Die durch einen missratenen Patch verursachten Kosten hängen außerdem stark vom betroffenen System ab. Ein Problem auf einem Server oder einer wichtigen Komponente im Business-Workflow kann sehr teuer werden, denn dadurch sind in der Regel gleich sehr viele Mitarbeiter im Unternehmen betroffen. Das macht oft auch das roll back eines Patches aufwendig und schwierig. Bei Client-Software sind dagegen "nur" einzelne Anwender oder Abteilungen betroffen, wenn der Patch ungewollte Nebenwirkungen zeigt. Im Problemfall ist der Patch außerdem meistens einfacher rückgängig zu machen.
Dagegen haben Server und zentrale Business-Software den Vorteil, dass sie nicht wild im Internet surfen und sich so keine Schadsoftware einfangen können. Bei Client-Computern und deren Anwendern sieht das anders aus.
Daraus folgt als Strategie, dass bei Patches für zentrale Komponenten Sorgfalt vor Eile geht, wobei trödeln auch nicht angesagt ist. Bei den Clients sollte man sich dagegen weniger Zeit lassen und sich auf grundlegende Tests beschränken. Grundsätzlich spielt dabei auch die Risikoeinstufung eines per Patch zu behebenden Sicherheitsproblems eine Rolle.
Der Secunia-Halbjahresbericht 2011 analysiert die Bedrohungen und wichtige globale Trends im Bereich der Sicherheit von Endgeräten im privaten und geschäftlichen Umfeld. Die Ergebnisse des Halbjahresberichts basieren auf Daten aus der Schwachstellendatenbank von Secunia. Hier können Sie den Bericht herunterladen: http://secunia.com/resources/reports/
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation TecChannel. (sjf)