IT-Organisationen müssen ihre Gepflogenheiten in Sachen Patch-Management neu überdenken. Nach Einschätzung des Information Security Forum (ISF) ist es ratsam, ein prozessuales Rahmenwerk zu entwickeln, in dem Policies und deren Management sowie IT-Belange zu einem stimmigen Verfahren verwoben sind. Ein robustes Framework könne das Aufspielen von Patches beschleunigen und dabei helfen, Sicherheitslecks zu minimieren, so die internationale Non-Profit-Organisation. Ihr gehören rund 270 Fortune-100-Unternehmen an, die auf Basis praktischer Erfahrungen Leitlinien im Bereich IT-Security erarbeiten.

Zwar sei das Patch-Management nicht der Weisheit letzter Schluss, bei der Lösung von IT-Sicherheitsproblemen stelle es jedoch einen zentralen Baustein dar. Aus diesem Grund müsse der vielerorts noch fehlerhafte Prozess verbessert werden. "Exploits lassen sich produzieren, bevor ein Patch herausgegeben wird - und selbst, wenn dieser verfügbar ist, heißt das noch lange nicht, dass er auf alle verwundbaren Geräte aufgespielt wird", verdeutlicht ISF-Program-Manager Adrian Davis. Genau hier sollen die vom ISF entwickelten Leitlinien zum Patch-Management Hilfestellung leisten.

Neben der Festlegung von Rollen und Verantwortlichkeiten empfiehlt die Organisation, potenzielle Schwachstellen auf regelmäßiger Basis zu ermitteln und auf diese Weise auch Probleme durch versagende Patches zu lösen. Genauso wichtig sei es aber, Ausnahmen für die aufgestellten Regeln zu definieren, so Davis. So sei in einigen zertifizierten Umgebungen - etwa in der Pharmabranche oder dem Energiesektor - die Modifikation bestimmter Systeme unzulässig, was zu Konflikten zwischen den Patching-Absichten einerseits und den Geschäftsaktivitäten andererseits führen könne. Daher sei das Alignment des Patch-Management mit anderen operativen Prozessen unerlässlich.

Ein geeignetes Framework sollte darüber hinaus Bereitstellung und Management entsprechender Patch-Skills und Ressourcen im Unternehmen berücksichtigen. (kf)