Mehr Sicherheit im Netzwerk durch richtiges Patch-Management

3
Aug

80% aller erfolgreich durchgeführten Angriffe auf IT-Systeme nutzen Sicherheitslücken, die bereits bekannt sind und für die es bereits Patches gibt, die diese Lücken wirksam schließen könnten – wenn sie denn installiert worden wären. Zeitnah und regelmäßig durchgeführte Softwareaktualisierungen sind wichtig für die Sicherheit einzelner Computer oder gesamter Netzwerke.

Unter dem „Patchen“ eines Systems versteht man das Installieren von verfügbaren Aktualisierungen, die vom Hersteller angeboten werden. Dabei kann es sich sowohl um Updates für das Betriebssystem selbst als auch um Updates für darauf installierte Anwendungsprogramme handeln.

Neben dem Beheben von Fehlern und dem Bereitstellen von neuen Funktionen ist der Hauptgrund für Updates das Schließen von Sicherheitslücken.

Wer ist für die Installation verantwortlich?

Es liegt in der Verantwortung des jeweiligen Anwenders eines Computers diese Updates herunterzuladen bzw. zu installieren. Das führt gerade bei weniger erfahrenen Anwendern dazu, dass die Hinweise auf diese Aktualisierungen gerne einmal „weg geklickt“ werden und das System die bereit stehenden Aktualisierungen nicht erhält. Während dieses Vorgehen bei Privatanwendern in der Regel nur einzelne PCs betrifft kann es in Firmennetzwerken zu größeren Schadszenarien führen. In Unternehmen sind IT-Administratoren dafür verantwortlich, dass die Software und Betriebssystem auf den Computern des Netzwerks aktuell sind.

Hierfür steht den Administratoren von Windows-Netzwerken der „Windows Server Update Service“ (WSUS) zur Verfügung. Hierüber lässt sich steuern, welche Updates auf welchen Windows-Rechnern installiert werden sollen. Das ist insbesondere dann sinnvoll, wenn nicht nur überwacht werden soll, ob die Rechner eines Netzwerks aktuell sind sondern auch dann, wenn beispielsweise verhindert werden soll, dass bestimmte Updates installiert werden sollen (z. B. wenn Geräte nach der Auslieferung nicht mehr verändert werden dürfen oder Konflikte zwischen Software und Update bekannt sind).

Testinstallationen verhindern den Ausfall von Komponenten

Der Administrator ist durch den WSUS in der Lage, aus der Menge aller verfügbaren Updates einige auszuwählen, die innerhalb des Netzwerks „ausgerollt“ werden sollen. Wenn bei produktiven Geräten die Gefahr groß ist, dass es durch ein Update zu Problemen oder Nutzungsausfällen kommt, sollte eine Testinstallation durchgeführt werden. Hierbei wird das Update nicht an alle Rechner zu verteilt, sondern erst einmal an einen Rechner oder eine kleine Gruppe. So können die Verträglichkeit mit bereits installierter Software und neue Funktionen mit begrenztem Risiko geprüft werden.Dazu müssen von der IT-Abteilung Geräte vorgehalten werden, die von Aufbau und der Konfiguration mit den produktiven Pendants vergleichbar sind. Bei Problemen in der Erprobungsphase wäre somit kein produktives Gerät betroffen.