Was wie schnell patchen?
Bevor ein Patch im Unternehmen ausgerollt wird, ist in der Regel ein Test auf Inkompatibilitäten und anderen Auswirkungen auf die bestehende Software-Infrastruktur angesagt. Schließlich soll der Software-Flicken nicht für zusätzliche Kosten durch IT-Ausfall und Support-Aufwand sorgen.
Auf der anderen Seite erhöht sich mit jedem Tag, an dem bekannte Sicherheitslücken unbehandelt bleiben auch das Risiko, dass Eindringlinge genau das ausnutzen. Der dadurch entstehende Schaden, beispielsweise durch Datenverlust oder Ausfall wichtiger Systeme, kann leicht horrende Kosten verursachen,
Warten und vorher testen oder möglichst schnell patchen?
Auch durch eine sorgfältige Testprozedur können Sie nicht zu 100 Prozent sicherstellen, dass irgendwo Unverträglichkeiten auftreten. In der Regel muss außerdem beim Testen irgendwann ein Schlussstrich gezogen werden, der ungetestete Rest verbleibt als potenzielles Risiko. Das ist bei der Kostenbetrachtung zu berücksichtigen.
Die durch einen missratenen Patch verursachten Kosten hängen außerdem stark vom betroffenen System ab. Ein Problem auf einem Server oder einer wichtigen Komponente im Business-Workflow kann sehr teuer werden, denn dadurch sind in der Regel gleich sehr viele Mitarbeiter im Unternehmen betroffen. Das macht oft auch das roll back eines Patches aufwendig und schwierig. Bei Client-Software sind dagegen "nur" einzelne Anwender oder Abteilungen betroffen, wenn der Patch ungewollte Nebenwirkungen zeigt. Im Problemfall ist der Patch außerdem meistens einfacher rückgängig zu machen.
Dagegen haben Server und zentrale Business-Software den Vorteil, dass sie nicht wild im Internet surfen und sich so keine Schadsoftware einfangen können. Bei Client-Computern und deren Anwendern sieht das anders aus.
Daraus folgt als Strategie, dass bei Patches für zentrale Komponenten Sorgfalt vor Eile geht, wobei trödeln auch nicht angesagt ist. Bei den Clients sollte man sich dagegen weniger Zeit lassen und sich auf grundlegende Tests beschränken. Grundsätzlich spielt dabei auch die Risikoeinstufung eines per Patch zu behebenden Sicherheitsproblems eine Rolle.
Der Secunia-Halbjahresbericht 2011 analysiert die Bedrohungen und wichtige globale Trends im Bereich der Sicherheit von Endgeräten im privaten und geschäftlichen Umfeld. Die Ergebnisse des Halbjahresberichts basieren auf Daten aus der Schwachstellendatenbank von Secunia. Hier können Sie den Bericht herunterladen: http://secunia.com/resources/reports/
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation TecChannel. (sjf)