Patchmanagement im KMU-Umfeld
Dieser Beitrag wurde von Maurizio Tuccillo für die Hochschule Luzern verfasst und von secnovum übernommen.
Wichtigste Merkpunkte:
- Definieren Sie regelmässige Zeitfenster ausserhalb der Produktionszeiten für die Wartung Ihrer Systeme.
- Beziehen Sie Sicherheitsupdates ausschliesslich aus vertrauenswürdigen Quellen.
- Prüfen Sie Wirksamkeit und «Nebenwirkungen» von Sicherheitsupdates, bevor sie diese auf produktive Systeme installieren.
- Legen Sie einen Plan für die Verteilung von Sicherheitsupdates auf Ihren Systemen fest.
- Halten Sie ein aktuelles Backup und ein Fallback-Szenario in der Hinterhand, falls beim Update etwas schief laufen sollte.
- Dokumentieren Sie die an den Systemen vorgenommenen Wartungsarbeiten.
Sicherheitsupdates zur Minimierung von Schwachstellen
Die Entwicklung von IT-Systemen schreitet immer schneller voran: Funktionalitäten von Applikationen nehmen stetig zu, und die Lebenszyklen von Hard- und Software werden tendenziell kürzer. Hersteller sind deshalb bestrebt, ihre neusten Errungenschaften mittels Aktualisierungen (Updates) schnell in Umlauf zu bringen.
Im KMU-Umfeld kann hierbei durchaus eine gewisse Zurückhaltung geübt werden, weil sich nicht jede Neuerung auch effizient auf den Betriebsprozess umlegen lässt. Eine strikte Ausnahme dazu bilden jedoch Sicherheitsupdates, welche möglichst umgehend eingespielt werden sollten.
Jedes komplexe System weist versteckte Fehler oder Schwachstellen auf. Vielfach bleiben diese lange unbemerkt und harmlos. Sind solche jedoch einmal entdeckt, werden sie zu ernstzunehmenden Verletzlichkeiten (im IT-Umfeld Vulnerabilities genannt), denn nun beginnt ein Wettlauf mit der Zeit.
Schwachstellen werden schamlos ausgenutzt
Auf der einen Seite beginnen Hacker nach Wegen zu suchen, diese offengelegten Schwachstellen für ihre Zwecke auszunutzen und sogenannte Exploits zu entwickeln. Gelingt dies, können sich böswillige Akteure zum Beispiel unautorisierten Zugang zu Systemen und Daten verschaffen.
Auf der anderen Seite machen sich die Hersteller daran, mittels Sicherheitsupdates oder Patches diese Schwachstellen möglichst schnell zu beheben und damit allfälligen Exploits zuvorzukommen oder bereits bestehende Exploits unschädlich zu machen.
Die Lösung: Patchmanagement
Grundsätzlich sollten Sicherheitsupdates also möglichst schnell und flächendeckend eingespielt werden. Was auf einem privaten Einzelplatzsystem im Allgemeinen einfach zu bewerkstelligen ist, kann im KMU jedoch durchaus seine Tücken haben. Es braucht deshalb ein geordnetes Vorgehen in Form eines Patchmanagement-Prozesses.
Für die Installation von Sicherheitsupdates sind jeweils folgende Schritte zu beachten:
- Identifikation der betroffenen Systeme und der hierfür geeigneten Sicherheitsupdates.
- Beschaffung der Sicherheitsupdates aus einer vertrauenswürdigen Quelle, insbesondere auch für Systeme ohne direkten Internet-Zugang.
- Vorgängiges Testen von Wirksamkeit und «Nebenwirkungen» von Sicherheitsupdates auf nicht kritischen Systemen.
- Systemabhängige Freigabe von Sicherheitsupdates und Terminierung der Installation ausserhalb der Produktionszeiten.
- Bei kritischen Systemen: Planung von temporären Ausweichlösungen und Fallback-Szenarien.
- Dokumentation der vorgenommenen Änderungen.
Da es sich hierbei um einen rollenden Prozess handelt, empfiehlt sich das Festlegen von periodischen, fixen Zeitfenstern für die Wartung der Systeme. So können Sicherheitsupdates über eine gewisse Zeit gesammelt, geprüft und vorbereitet werden, deren Installation jedoch bis zum nächsten Zeitfenster aufgeschoben werden.