Patch-Management gehört zu den alltäglichen Aufgaben der IT. Dabei gilt es, neu entdeckte Sicherheitslücken der Betriebssysteme und Anwendungen möglichst zeitnah zu schließen, um Gefährdungen der Unternehmenssysteme vorzubeugen. Wer Software-Updates und Hotfixes weltweit ausrollen will, muss auch Standorte einbeziehen, die mit sehr geringer Bandbreite angebunden sind. Die H&R Infotech GmbH, IT-Dienstleister des norddeutschen Prozessfertigers H&R Wasag AG, hat diese Herausforderung gemeistert.
Best Practices
• In die Evaluierung des Patch-Management-Systems waren Key User an unterschiedlichen Standorten einbezogen und gaben Feedback an die IT.
• Im ersten Schritt wurden alle Anwendungen auf denselben Stand gebracht.
• Damit mangelhafte Bandbreite nicht ins Gewicht fällt, übernehmen lokale Relais-Server die Verteilung auf die PCs.
• Dank der sukzessiven Vorgehensweise beschränken sich Störungen des Betriebs auf das Nötigste.
• Halbautomatische Updates sind in die Arbeitsabläufe der Anwender integrierbar.
• Die zur Patch-Steuerung gedachten Skripte lassen sich auch für andere Funktionen nutzen.
Projektsteckbrief
Projektart: Aufbau eines Patch-Management-Systems.
Branche: Prozessfertiger.
Umfang: im Endausbau für 700 Clients weltweit.
Zeitrahmen: Von November 2004 bis März 2005.
Stand heute: läuft produktiv.
Produkte: Bigfix BES 5.1 Advanced Edition von Bigfix.
Dienstleister: H&R Infotech swoie Ampeg.
Ergebnis: zuverlässige Verteilug von Software- Updates und -Patches.
Herausforderung: schwachbrüstige Anbindung einiger Niederlassungen.
Nächster Schritt: Nutzung des Systems für Softwareverteilung und Inventarisierung.
www.computerwoche.de/go/
*79150: Vergleich: Patchen ohne Turnschuhnetz;
*81355: Hilfe für das Patch-Management;
*78459: Microsofts WSUS ist noch nicht perfekt;
*52763: Keine Chance für Sobig und Blaster.
Im vergangenen Herbst stellte das Marktforschungsunternehmen Gartner die These auf, dass sich die Ausfallzeiten der Systeme durch Sicherheitslücken der Software bis zum Jahr 2008 verdreifachen werden - falls die Anwenderunternehmen keine Anstrengungen für sichere Software unternehmen. Wie das Computer Emergency Response Team (Cert) der Carnegie Mellon University festgestellt hat, lassen sich allein durch Patch-Management 95 Prozent aller Angriffsflächen beseitigen, die die Unternehmenssysteme gemeinhin bieten. Doch das Verteilen der Patches ist nicht trivial: Tests und Konfliktanalysen gehören ebenso dazu wie das Verwalten installierter Updates. Es muss sichergestellt sein, dass die Patches wirklich auf den Zielrechnern installiert werden und dass sie die vorhandenen Programme nicht stören.
Vor dieser Aufgabe stand auch die H&R Wasag AG mit Sitz in Salzbergen. Das Unternehmen mit weltweit über 1600 Mitarbeitern ist vor allem in den Bereichen chemisch-pharmazeutische Grundstoffe, Kunststoffe und Sprengstoffe für den Bergbau tätig und erwirtschaftete im vergangenen Jahr einen Umsatz von mehr als 497 Millionen Euro. Die Gesellschaft unterhält zahlreiche Niederlassungen in der ganzen Welt.
Konflikte zwischen Updates waren nicht ausgeschlossen
Die Ausgangslage war folgende: Mangels einer zentralen Instanz ließ sich kaum feststellen, welche Patches an welchem PC aufgespielt waren. Unsichere Clients oder Konflikte zwischen den Software-Updates und installierten Anwendungen waren auf dieser Basis nicht auszuschließen. Zudem sind viele Standorte nur mit wenigen Mitarbeitern besetzt und müssen - wenn überhaupt - auf schmalbandige Internet-Zugänge zurückgreifen. "In vielen Ländern wie zum Beispiel Thailand sind die Leitungen der Provider sehr instabil", erläutert Mathias Kugler, der als System Engineer bei H&R Infotech für das Patch-Management zuständig ist.
Zu den wichtigen Anforderungen an das Patch-Management-System gehörte also zum einen die Möglichkeit, auch bei instabilen Anbindungen zuverlässig alle Patches auszurollen. Zum anderen musste die Lösung unbedingt zentral betrieben werden können. Die Server von H&R Wasag laufen alle im Hamburger Rechenzentrum, die Anwender werden global von diesem Standort aus betreut.
Da das Unternehmen überwiegend auf das Betriebssystem Windows setzt, lag es nahe, auch eine Patch-Management-Software von Microsoft einzuführen. Bei der Evaluierung habe sich allerdings herausgestellt, so Kugler, dass sich der "System Management Server" für die speziellen Vorgaben der H&R Wasag nicht eignete: "Das System hatte in unseren Tests Probleme mit den schmalbandigen und instabilen Anbindungen an manche Standorte", erläutert der Patch-Management-Experte. Erschwerend fiel ins Gewicht, dass die Wasag-IT keineswegs vollständig homogen ist. Einige wichtige Kernanwendungen betreibt das Unternehmen zum Beispiel auf der AS/400-Plattform von IBM.
Mit diesen Voraussetzungen kam ein anderes Produkt besser zurecht: "Bigfix BES 5.1 Advanced Edition" des amerikanischen Herstellers Bigfix. Ins Spiel gebracht wurde es durch den auf Sicherheitsthemen spezialisierten Dienstleister Ampeg GmbH aus Bremen, den H&R Infotech auch gleich mit der Integration des Patch-Managements beauftragte. Im Hamburger H&R-Rechenzentrum wurde ein Testsystem installiert, das Kugler und seine Kollegen auf Herz und Nieren prüften. In den Test einbezogen wurden auch Key User an unterschiedlichen Standorten. Sie sollten der IT-Abteilung Rückmeldungen über Geschwindigkeit und Zuverlässigkeit der Lösung geben. Im März dieses Jahres ging das System in den produktiven Betrieb.
Mit dem zentralen Server in Hamburg war es allerdings nicht getan; Bigfix benötigt eine Client-Komponente auf den Zielrechnern. Vor allem aber musste der unterschiedlichen Bandbreitenverfügbarkeit Rechnung getragen werden. Zunächst wurden in den einzelnen Standorten lokale Relais-Server auf bestehenden Systemen eingerichtet. Wie Kugler berichtet, nehmen diese die Patches vom zentralen Server entgegen, um sie dann auf die PCs zu verteilen. Das Relais benötige kaum Systemressourcen und könne auf einem der PCs oder einem vorhandenen Server mitlaufen. In der ersten Phase wurden mehr als 460 PCs in das Patch-Management integriert; der endgültige Ausbau soll rund 700 Clients einschließen.
Bandbreiten-Management berücksichtigt Arbeitsabläufe
Die vorhandene Bandbreite muss selbstredend so genutzt werden, dass der Arbeitsablauf in den Niederlassungen nicht behindert wird. Zu diesem Zweck setzt H&R Wasag das Bandbreiten-Management der Patch-Management-Lösung ein. Für jeden Standort wird eine individuelle Bandbreite definiert. "Wir geben dem Patch-Management jeweils ein Drittel der verfügbaren Bandbreite", berichtet Kugler. "Bevor der zentrale Server die Patches an das Relais überspielt, findet eine Prüfung statt, ob diese Bandbreite wirklich vorhanden ist; falls nicht, wird automatisch der Datendurchsatz angepasst." Vor dem Rollout werden die übertragenen Patches und Updates am Relais-Server mit einer Check-Summe auf Integrität geprüft. Die Clients kommunizieren mit dem Relais über eine lokale Software, die im 15-Sekunden-Takt den eigenen Patch-Stand mit dem des Servers abgleicht.
Sukzessives Vorgehen in kleinen Schritten
In der aktuellen Rollout-Phase hat sich H&R Wasag zunächst das Ziel gesetzt, die Betriebssysteme aller Unternehmens-PCs auf einen einheitlichen Patch-Stand zu bringen. Dabei geht Mathias Kugler sukzessive vor, um den Betrieb der Niederlassungen so wenig wie möglich zu stören: "Wir machen das in kleinen Schritten mit zwei Patches pro Woche und priorisieren die Rechner mit dem ältesten Versionsstand."
Die Reihenfolge, in der die einzelnen Standorte ihre Patches erhalten, richtet sich nach der Zahl der Rechner; größere Niederlassungen wie Großbritannien werden zuerst auf den aktuellen Stand gebracht. Hierfür favorisiert Kugler ein manuelles Vorgehen. Die Patches werden erst im Rechenzentrum getestet und dann an die lokalen Relais-Server verteilt, um jegliches Risiko auszuschließen. Die Installation auf den Clients erfolgt dann im laufenden Betrieb.
Von der Möglichkeit des vollautomatischen Updates kann H&R Infotech aus diesem Grund keinen Gebrauch machen. "Viele Patches verlangen einen Neustart des Rechners", legt Kugler dar, "das kann man während der normalen Arbeitszeit unmöglich automatisch machen." Die meisten Anwender hätten gleichzeitig mit ihren Windows-Anwendungen auch noch AS/400-Sessions offen, die sie keinesfalls abrupt beenden könnten.
Skripte sind nützlicher als ursprünglich gedacht
Um dieses Problem zu lösen, entschieden sich die Projektverantwortlichen für eine halbautomatische Lösung, bei der die Anwender in den Ablauf eingebunden sind: Nach dem Patchen werden sie über ein Dialogfenster aufgefordert, ihre Rechner neu zu starten. Geschieht das nicht innerhalb von 24 Stunden, nimmt der PC automatisch einen Re-Boot vor.
Die zur Steuerung der Patches eingesetzten Skripte - "Fixlets" genannt - machen das Softwarewerkzeug nützlicher als ursprünglich geplant. Sie dienen dazu, die Client-Komponente des Patch-Management-Systems zu steuern. Wie die Patches selbst werden sie über die Relais-Server an die PCs weitergeben. Dort funktionieren sie auch dann, wenn der Rechner keine Verbindung zum Internet hat, weshalb sie auch für andere Aufgaben als das reine Patch-Management einsetzbar sind. "Wir werden die Fixlets zum Beispiel auch nutzen, um Programme zu sperren, die gegen unsere Richtlinien verstoßen und potenziell unsicher sind", kündigt Kugler an. Geplant ist zudem, das bislang auf die Betriebssysteme beschränkte Patch-Management künftig auch für die Anwendungs-Updates zu nutzen. Sukzessive sollen weitere Funktionen der Lösung eingesetzt werden, beispielsweise Softwareverteilung oder Inventarisierung.
Der Aufwand für die IT-Mannschaft hielt sich in überschaubarem Rahmen; große Modifikationen an der Infrastruktur oder umfangreiches Konfigurieren des Patch-Servers waren nicht notwendig. Schulungen erforderte nur die Skript-Sprache der Bigfix-Lösung. (qua)