computerwoche.de

Security

Ratgeber Patch-Management

Sicherheitslücken ökonomisch fixen

22.09.2011
Von Michael Eckert

Was wie schnell patchen?

Bevor ein Patch im Unternehmen ausgerollt wird, ist in der Regel ein Test auf Inkompatibilitäten und anderen Auswirkungen auf die bestehende Software-Infrastruktur angesagt. Schließlich soll der Software-Flicken nicht für zusätzliche Kosten durch IT-Ausfall und Support-Aufwand sorgen.

Schwachstellenanalyse von 5000 Programmen: Logisch, dass mit der Programmzahl der Anteil an Problemen bei Drittanbieter-Software steigt. (Quelle: Secunia)
Schwachstellenanalyse von 5000 Programmen: Logisch, dass mit der Programmzahl der Anteil an Problemen bei Drittanbieter-Software steigt. (Quelle: Secunia)
Foto: Secunia

Auf der anderen Seite erhöht sich mit jedem Tag, an dem bekannte Sicherheitslücken unbehandelt bleiben auch das Risiko, dass Eindringlinge genau das ausnutzen. Der dadurch entstehende Schaden, beispielsweise durch Datenverlust oder Ausfall wichtiger Systeme, kann leicht horrende Kosten verursachen,

Warten und vorher testen oder möglichst schnell patchen?

Auch durch eine sorgfältige Testprozedur können Sie nicht zu 100 Prozent sicherstellen, dass irgendwo Unverträglichkeiten auftreten. In der Regel muss außerdem beim Testen irgendwann ein Schlussstrich gezogen werden, der ungetestete Rest verbleibt als potenzielles Risiko. Das ist bei der Kostenbetrachtung zu berücksichtigen.

Moving targets: Programme, die 2009 als kritisch bewertet wurden, waren das in 2008 und 20100 nicht. (Quelle: Secunia)
Moving targets: Programme, die 2009 als kritisch bewertet wurden, waren das in 2008 und 20100 nicht. (Quelle: Secunia)
Foto: Secunia

Die durch einen missratenen Patch verursachten Kosten hängen außerdem stark vom betroffenen System ab. Ein Problem auf einem Server oder einer wichtigen Komponente im Business-Workflow kann sehr teuer werden, denn dadurch sind in der Regel gleich sehr viele Mitarbeiter im Unternehmen betroffen. Das macht oft auch das roll back eines Patches aufwendig und schwierig. Bei Client-Software sind dagegen "nur" einzelne Anwender oder Abteilungen betroffen, wenn der Patch ungewollte Nebenwirkungen zeigt. Im Problemfall ist der Patch außerdem meistens einfacher rückgängig zu machen.

Hitliste: Die 50 verbreitesten Programme (populärste Software unten) und ihre Einstufung (rot= hoch/extrem kritisch) in den jeweiligen Jahren. (Quelle: Secunia)
Hitliste: Die 50 verbreitesten Programme (populärste Software unten) und ihre Einstufung (rot= hoch/extrem kritisch) in den jeweiligen Jahren. (Quelle: Secunia)
Foto: Secunia

Dagegen haben Server und zentrale Business-Software den Vorteil, dass sie nicht wild im Internet surfen und sich so keine Schadsoftware einfangen können. Bei Client-Computern und deren Anwendern sieht das anders aus.

Daraus folgt als Strategie, dass bei Patches für zentrale Komponenten Sorgfalt vor Eile geht, wobei trödeln auch nicht angesagt ist. Bei den Clients sollte man sich dagegen weniger Zeit lassen und sich auf grundlegende Tests beschränken. Grundsätzlich spielt dabei auch die Risikoeinstufung eines per Patch zu behebenden Sicherheitsproblems eine Rolle.

Der Secunia-Halbjahresbericht 2011 analysiert die Bedrohungen und wichtige globale Trends im Bereich der Sicherheit von Endgeräten im privaten und geschäftlichen Umfeld. Die Ergebnisse des Halbjahresberichts basieren auf Daten aus der Schwachstellendatenbank von Secunia. Hier können Sie den Bericht herunterladen: http://secunia.com/resources/reports/

Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation TecChannel. (sjf)