Trotz beachtlicher Investitionen in IT-Sicherheit - laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) haben deutsche Firmen 2008 rund 4,5 Milliarden Euro dafür ausgegeben - tun sich Unternehmen offenbar schwer, Schwachstellen zuverlässig und nachhaltig zu beheben (siehe auch "Mit Blick fürs Ganze gegen Schwachstellen"). Das zeigt nicht zuletzt der berüchtigte Wurm Conficker, der in den vergangenen Monaten eine Vielzahl von Firmen weltweit in Atem hielt und sogar in das Netz der Bundeswehr einmarschieren konnte.
Wenn der Schein trügt
Was den Vormarsch des digitalen Rambos und ähnliche Bedrohungen begünstigt, verdeutlicht eine Untersuchung des Sicherheitsdienstleisters Ampeg: Fünf deutsche Großunternehmen mit 5000 bis 100.000 PCs beauftragten den Bremer Security-Spezialisten, den Sicherheitsstatus aller in den jeweiligen Netzen befindlichen Systeme systematisch zu überprüfen. Das Resultat war beunruhigend: Trotz strikter und sorgfältig eingehaltener Security-Policies klafften in vier der fünf Netze erhebliche Sicherheitslücken. Laut Ampeg wichen die reellen Compliance-Werte weit von der angenommenen Effektivität der eingesetzten Patch-Management-Systeme ab. So hatte die Erfolgsquote beim Rollout von Patches bei einem der inspizierten Konzerne (insgesamt 40.000 PCs und Server an weltweit 70 Standorten) gemäß Statusmeldung der Update-Software stets zwischen 95 und 98 Prozent gelegen. Der systematische Netzcheck auf Rechnerebene ergab allerdings, dass nur 70 Prozent der Systeme tatsächlich auf dem neuesten Stand waren, sprich: 12.000 Rechner hatten selbst als kritisch eingestufte Patches via automatische Update-Verteilung nicht erhalten. "Leider war die globale Erfolgsquote pro Patch die einzige Zahl, die uns das Patch-Management-Tool zurückgeliefert hat", erinnert sich der für die weltweite IT-Sicherheit des Unternehmens verantwortliche Security Officer. Aufschluss darüber, welche Rechner bei Update-Rollouts nicht erreicht wurden und an welchen Standorten sich diese befanden, hatten die Reports indes nicht gegeben, was die Ursachenforschung für die Misserfolge bei der Verteilung unmöglich machte. Mit Hilfe systematischer Überprüfung ist es dem Konzern jedoch mittlerweile gelungen, diesbezüglich Transparenz zu schaffen und so die bislang unbemerkten Sicherheitslecks gezielt zu stopfen
Für die Diskrepanz zwischen den (vermeintlichen) Erfolgsmeldungen der Patch-Management-Systeme und dem realen Sicherheitsstatus können verschiedene technische und organisatorische Pannen verantwortlich sein. "Auf technischer Ebene kann es vorkommen, dass Patch-Management-Systeme nicht die Wahrheit sagen", warnt Raimund Genes, Chief Technology Officer (CTO) bei Trend Micro. So komme nach Roll-Outs beispielsweise die Rückmeldung, dass alles gepatcht sei, bei Stichproben stelle sich dann aber heraus, dass dies keineswegs der Fall ist. "Das kann unterschiedliche Ursachen haben - etwa wenn einzelne Rechner zum Zeitpunkt des Roll-Outs hängen bleiben und beim Neustart die zuletzt gespeicherte Konfiguration wiederherstellen - die ohne Patch", nennt der Sicherheitsexperte ein Beispiel. Die Rückmeldung, dass der PC nicht mehr geschützt ist, bleibe allerdings aus, so dass der Administrator davon nichts erfahre. Nachdem bei jedem Rollout immer wieder andere Rechner einen Patch verpassen, steigt mit jedem Update die Zahl der unvollständig gepatchten Systeme. Selbst für sich genommen akzeptabel anmutende Erfolgsquoten von jeweils 98 Prozent bedeuten, dass jedes Mal zwei Prozent der Rechner (darunter möglicherweise kritische Systeme) nicht erreicht werden.