Trotz beachtlicher Investitionen in IT-Sicherheit - laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) haben deutsche Firmen 2008 rund 4,5 Milliarden Euro dafür ausgegeben - tun sich Unternehmen offenbar schwer, Schwachstellen zuverlässig und nachhaltig zu beheben (siehe auch "Mit Blick fürs Ganze gegen Schwachstellen"). Das zeigt nicht zuletzt der berüchtigte Wurm Conficker, der in den vergangenen Monaten eine Vielzahl von Firmen weltweit in Atem hielt und sogar in das Netz der Bundeswehr einmarschieren konnte.
Wenn der Schein trügt
Was den Vormarsch des digitalen Rambos und ähnliche Bedrohungen begünstigt, verdeutlicht eine Untersuchung des Sicherheitsdienstleisters Ampeg: Fünf deutsche Großunternehmen mit 5000 bis 100.000 PCs beauftragten den Bremer Security-Spezialisten, den Sicherheitsstatus aller in den jeweiligen Netzen befindlichen Systeme systematisch zu überprüfen. Das Resultat war beunruhigend: Trotz strikter und sorgfältig eingehaltener Security-Policies klafften in vier der fünf Netze erhebliche Sicherheitslücken. Laut Ampeg wichen die reellen Compliance-Werte weit von der angenommenen Effektivität der eingesetzten Patch-Management-Systeme ab. So hatte die Erfolgsquote beim Rollout von Patches bei einem der inspizierten Konzerne (insgesamt 40.000 PCs und Server an weltweit 70 Standorten) gemäß Statusmeldung der Update-Software stets zwischen 95 und 98 Prozent gelegen. Der systematische Netzcheck auf Rechnerebene ergab allerdings, dass nur 70 Prozent der Systeme tatsächlich auf dem neuesten Stand waren, sprich: 12.000 Rechner hatten selbst als kritisch eingestufte Patches via automatische Update-Verteilung nicht erhalten. "Leider war die globale Erfolgsquote pro Patch die einzige Zahl, die uns das Patch-Management-Tool zurückgeliefert hat", erinnert sich der für die weltweite IT-Sicherheit des Unternehmens verantwortliche Security Officer. Aufschluss darüber, welche Rechner bei Update-Rollouts nicht erreicht wurden und an welchen Standorten sich diese befanden, hatten die Reports indes nicht gegeben, was die Ursachenforschung für die Misserfolge bei der Verteilung unmöglich machte. Mit Hilfe systematischer Überprüfung ist es dem Konzern jedoch mittlerweile gelungen, diesbezüglich Transparenz zu schaffen und so die bislang unbemerkten Sicherheitslecks gezielt zu stopfen
Für die Diskrepanz zwischen den (vermeintlichen) Erfolgsmeldungen der Patch-Management-Systeme und dem realen Sicherheitsstatus können verschiedene technische und organisatorische Pannen verantwortlich sein. "Auf technischer Ebene kann es vorkommen, dass Patch-Management-Systeme nicht die Wahrheit sagen", warnt Raimund Genes, Chief Technology Officer (CTO) bei Trend Micro. So komme nach Roll-Outs beispielsweise die Rückmeldung, dass alles gepatcht sei, bei Stichproben stelle sich dann aber heraus, dass dies keineswegs der Fall ist. "Das kann unterschiedliche Ursachen haben - etwa wenn einzelne Rechner zum Zeitpunkt des Roll-Outs hängen bleiben und beim Neustart die zuletzt gespeicherte Konfiguration wiederherstellen - die ohne Patch", nennt der Sicherheitsexperte ein Beispiel. Die Rückmeldung, dass der PC nicht mehr geschützt ist, bleibe allerdings aus, so dass der Administrator davon nichts erfahre. Nachdem bei jedem Rollout immer wieder andere Rechner einen Patch verpassen, steigt mit jedem Update die Zahl der unvollständig gepatchten Systeme. Selbst für sich genommen akzeptabel anmutende Erfolgsquoten von jeweils 98 Prozent bedeuten, dass jedes Mal zwei Prozent der Rechner (darunter möglicherweise kritische Systeme) nicht erreicht werden.
Fehleinschätzungen durch "blindes Vertrauen"
Vor diesem Hintergrund erachtet Trend-Micro-CTO Genes das "blinde Vertrauen" der Sicherheitsverantwortlichen in die häufig irreführenden Erfolgsmeldungen ihrer automatischen Patch-Management-Systeme als äußerst riskant. Daraus resultierende Fehleinschätzungen im Hinblick auf den Sicherheitsstatus des Gesamt-IT-Systems sind dem Sicherheitsexperten zufolge nur durch einen aktiven Qualitätssicherungsprozess und ein effektives Monitoring zu vermeiden.
Organisatorische Defizite
Ähnlich sieht das Peter Graf, Geschäftsführer des Security-Dienstleisters Ampeg: "Nach unseren Erkenntnissen waren und sind selbst Unternehmen, die den Conficker-Patch rechtzeitig installiert haben, zu keinem Zeitpunkt sicher, wenn sie nicht den gesamten Update-Prozess systematisch überprüft und alle Sicherheitslücken im System geschlossen haben." Dass das Controlling der Update-Prozesse von Patches und Malware-Patterns hierzulande offenbar noch in den Kinderschuhen steckt, verdeutlicht eine Umfrage, die das Marktforschungsinstitut Innofact 2008 im Auftrag des Security-Dienstleisters unter 47 IT-Leitern und Chief Security Officers (CSOs) deutscher Großunternehmen vorgenommen hat. Zwar sind sich demnach rund 70 Prozent der Sicherheitsverantwortlichen durchaus bewusst, dass schon um wenige Stunden verzögerte Pattern- und Patch-Rollouts eine zusätzliche Bedrohung sein können. Parallel dazu räumte allerdings gut jeder zweite befragte Konzern ein, dass manche Systeme im eigenen Unternehmen überhaupt nicht mit Updates versorgt werden. Mehr als ein Drittel der IT-Verantwortlichen verlässt sich eigenen Angaben zufolge beim Rollout ganz auf die automatischen Patch-Management-Systeme in der Überzeugung, die Sicherheit ihres Netzes sei auch ohne Kontrolle des Update-Erfolgs gewährleistet. Laut Studie überprüfen insgesamt fast 47 Prozent die von ihren Patch-Management-Systemen gemeldeten Resultate nur stichprobenartig oder gar nicht.
IT-Security-Controlling - Aufgabe des Managements
Ampeg-Geschäftsführer Graf führt den diesbezüglichen Missstand allerdings weniger auf technische Defizite als auf die Laissez-faire-Haltung des Managements zurück: "Ich sehe das Hauptproblem darin, dass es für das Patchen von Seiten des Managements keine klaren Vorgaben in Sachen Qualitätskontrolle gibt." Folglich ständen den IT-Administratoren in der Regel nicht annähernd genügend personelle und technische Ressourcen zur Verfügung, um den automatischen Patch-Prozess sauber zu überwachen und die kritischen Systeme einer tiefer gehenden Untersuchung zu unterziehen - und gerade dort eine Erfolgsquote von 100 Prozent sicherzustellen. Welche Folgen es haben kann, wenn ein dahin gehendes Monitoring unterbleibt, beschreibt Graf am Fall einer Firma, das sich erst vor wenigen Tagen den Wurm Conficker eingefangen hat, weil vier kritische Server nicht gepatcht waren. "Daraufhin lag das Unternehmen fast einen Tag lang zu 50 Prozent lahm", berichtet der Experte aus der Praxis.
Transparenz als Pflicht
Um Schwachstellen zu schließen, die eine Manipulation oder das Ausspähen von Informationen ermöglichen, reicht es nach den Grundsätzen des Fachausschusses für Informationstechnologie (FAIT) des Instituts für Wirtschaftsprüfer (IDW) aus, alle entsprechenden Updates über ein Patch-Management-System zu installieren - eine Überprüfung des Verteilerfolgs ist hier nicht explizit gefordert. Anders könnte es künftig jedoch aus juristischer Sicht aussehen: "Der Auftrag an den Administrator, den Patch-Erfolg zu überprüfen, entlässt das Security-Management im Schadensfall nicht aus der Haftung, denn Ersterer kann mangels Ressourcen meist nur Stichproben durchführen", beschreibt der auf IT-Security spezialisierte Rechtsanwalt Robert Niedermeier die Sachlage. Angesichts der heutigen Möglichkeiten für IT-Security-Verantwortliche, in Bezug auf den Sicherheitsstatus ihrer Systeme umfassende Transparenz zu schaffen und damit proaktiv zu handeln, sei ein bloßes Reagieren unzeitgemäß. Ihm zufolge müssen Unternehmen damit rechnen, dass dies im Verfahrensfall auch ein Gutachter vor Gericht so sieht.