icetray - Fotolia

Einführung in automatisierte Patch-Management-Software für Unternehmen

Betriebssysteme und Anwendungen manuell mit Patches aktuell zu halten, ist in einer größeren Firma kaum praktikabel. Patch-Management-Software hilft.

Während Unternehmen aufgrund der angespannten Wirtschaftslage weiterhin mit dem Budgetdruck kämpfen, bleibt die Automatisierung von Routineaufgaben ein wichtiger Faktor, wenn es um die Aufteilung von IT-Budgets geht. Patch-Management-Software ist ein Paradebeispiel dafür, wie eine mühsame manuelle Tätigkeit in hohem Maße von der Automatisierung profitiert. Diese Lösung stellt sicher, dass alle Computer mit den neuesten Patches versorgt werden, die die Hersteller von Betriebssystemen und Anwendungssoftware zur Verfügung stellen.

Rechner mit den neuesten Patches auf dem aktuellen Stand zu halten, ist auf diese Weise nicht mehr nur eine empfohlene Best Practice für die Unternehmens-IT. Der Sarbanes-Oxley Act (SOX), ein US-Bundesgesetz für den Umgang mit bestimmten Arten von Daten, und interne Firmenrichtlinien haben die Anforderung nach einem konsistenten, aktuellen Patch-Stand von allen Computern in einer bestimmten IT-Infrastruktur festgeschrieben. Aus dem deutschen IT-Sicherheitsgesetz ergibt sich laut BSI mit Inkrafttreten des IT-Sicherheitsgesetzes müssen Webseitenbetreiber technische und organisatorische Maßnahmen nach dem Stand der Technik ergreifen. Und weiter: Das BSI stellt oftmals fest, dass auf Webservern veraltete und angreifbare Softwareversionen laufen. Eine grundlegende und wirksame Maßnahme ist daher das regelmäßige und rasche Einspielen von Software-Updates und Sicherheitspatches, die jeder Anbieter eines Telemediendienstes beachten sollte.

Patch-Management-Software bietet Firmen die Möglichkeit, die in der Branche üblichen Best Practices beziehungsweise Maßnahmen nach dem Stand der Technik einzuhalten und gleichzeitig allen maßgeblichen gesetzlichen Bestimmungen zum Schutz von IT-Systemen vor potenzieller Malware oder unberechtigten Zugriffen nachzukommen.

Warum Betriebssysteme und Software patchen?

Patch-Management-Software setzt nicht auf die branchenüblichen Best-Practices-Empfehlungen, um Betriebssysteme und Anwendungssoftware manuell mit Patches auf dem aktuellen Stand zu halten. Stattdessen ermöglicht sie es IT-Fachleuten, diese Aufgabe an spezielle Software zu übertragen, die den Verteilungsvorgang transparent durchführen kann. Patch-Management-Software kann auch automatisierte Compliance-Berichte liefern, die dokumentieren, welche Computer aktuell sind – und welche nicht. Außerdem ist sie in der Lage, Meldungen an Administratoren zu senden, die Auskunft über erfolgreiche oder fehlgeschlagene Patch-Aktivitäten geben.

Man braucht sich nur die weithin bekannt gewordenen Malware-Ausbrüche der jüngeren Vergangenheit anzusehen, die speziell Schwachstellen in populärer Software wie Microsoft SQL Server ausnutzten, um zu erkennen, dass das Patchen nicht nur theoretisch eine gute Idee ist. Die neuesten Patches einzuspielen, ist eine obligatorische Komponente beim IT-Software-Management.

Wie funktioniert automatisiertes Patchen?

Die meiste Patch-Management-Software erfordert die Installation eines Agents auf den Zielcomputern. Dieser Agent stellt eine Verbindung zwischen dem Patch-Management-Server und den zu patchenden Rechnern bereit. Des Weiteren können Agents Patch-Aufgaben durchführen, etwa Warnmeldungen senden, Patches vor der Installation lokal auf dem Zielrechner zwischenspeichern und fehlgeschlagene Patch-Installationen wiederholen.

Verständlicherweise widerstrebt es vielen Administratoren, nur für die Patch-Verwaltung einen Agent auf Hunderten oder Tausenden von Computern zu installieren. Das ist einer der Gründe, warum eigenständige Patch-Management-Software so häufig zusammen mit anderer Monitoring- und Management-Software, die ebenfalls einen Agent benötigt, in einem Bundle enthalten ist.

Einen Agent zu installieren, der zum Beispiel die Patch-Verwaltung, die Performance-Überwachung und Statistiken zum Serverstatus unterstützt, ist für gewöhnlich eine bessere Strategie, als drei einzelne Agents zu nutzen, von denen jeder nur Teilaspekte bei der Verwaltung eines Zielcomputers abdeckt. Jede moderne Patch-Management-Software enthält Agents, die auf allen aktuellen Versionen von Windows, Linux/UNIX und, angesichts zunehmender BYOD-Tendenzen, oft auch auf mobilen Plattformen, wie Android oder iOS, laufen.

Patch-Verwaltung: Risiken und Nebenwirkungen

Wie sich herausstellt, liegen die praktischen Herausforderungen der Patch-Verwaltung typischerweise nicht in der Verteilung der Patches selbst. Patches in einem modernen Netzwerk mit Patch-Management-Software zu verbreiten, ist ein relativ einfacher Vorgang, sofern auf allen Zielrechnern ein passender Agent installiert ist. Wie sich Patches verteilen lassen, ist nicht das Entscheidende, sondern welche Patches zu welchem Zeitpunkt an die betreffenden Rechner ausgeliefert werden sollen.

Patch-Management-Software bietet Firmen die Möglichkeit, allen maßgeblichen gesetzlichen Bestimmungen zum Schutz von IT-Systemen vor potenzieller Malware nachzukommen.

Obwohl Softwarehersteller regelmäßig Patches herausbringen – und Experten in der Regel raten, diese sofort zu installieren –, gibt es auch eine Best Practice für die Patch-Verwaltung, dass alle Patches in einer Entwicklungs- oder Testumgebung installiert und getestet werden sollten. Erst danach sollten diese Patches an die Computer verteilt werden, die den Patch benötigen. Warum? Weil – obwohl es logisch wäre, anzunehmen, dass Softwarehersteller nie einen Patch zur Verfügung stellen, der vorhandene Software beeinträchtigt – sich genügend Beispiele für Patches finden lassen, die ein oder mehrere Probleme behoben, gleichzeitig jedoch andere Funktionen oder die gesamte Funktionalität lahmgelegt haben.

Patch-Administratoren müssen überdies die Tatsache berücksichtigen, dass nicht jeder Softwarehersteller seine Patches mit jeder anderen Software testet, die sich bei den Anwendern findet. Noch schlimmer, als einen Patch nicht einzuspielen, so dass eine Software möglicherweise weiter angreifbar bleibt, ist nur noch, einen Patch zu installieren, der dabei andere Anwendungen in Mitleidenschaft zieht.

Die Kosten für die automatisierte Patch-Verwaltung

Die Kosten für die Anschaffung von automatisierter Patch-Management-Software variieren so stark wie die vielen auf dem Markt vertretenen Patch-Management-Produkte. Es gibt außer Freeware-Versionen von Patch-Management-Produkten auch Standalone-Angebote für diejenigen, die über ein üppiges Budget verfügen, aber auch für alle, die sparen müssen. Darüber hinaus wird Patch-Management-Software angeboten, die in einer umfassenden Software-Suite für das Monitoring und die Verwaltung integriert ist.

Es gibt keine allgemeingültige Antwort auf die Frage, welche Art von Patch-Management-Software sich für eine bestimmte Situation am besten eignet. Jede Lizenzierungsmethode für Patch-Management-Software bedeutet ein anderes Preisniveau und einen anderen Funktionsumfang. Anhand dessen können Organisationen das beste Produkt innerhalb ihres Budgets finden.

Wenn es darum geht, mehrere Patch-Management-Produkte miteinander zu vergleichen, gilt es zunächst, die Relation zwischen Preis und Funktionen zu prüfen, und sich anschließend auf eine kurze Liste mit der Software zu einigen, die sich am ehesten mit Ihren Anforderungen und Ihrem Budget in Einklang bringen lässt. Obwohl das Patch-Management einen zuvor manuellen Prozess automatisiert, müssen Organisationen immer noch die Kosten für die Verwaltung des von ihnen ausgewählten Patch-Management-Produkts berücksichtigen. Selbst automatisierte Patch-Management-Software erfordert erfahrene Experten, um die gekaufte Lösung zu konfigurieren und zu administrieren.

Pro und kontra Patch-Management-Software

Die Automatisierung eines Patch-Verteilungsprozesses ist eine Best-Practice-Methode, die weder ignoriert werden noch auf der Strecke bleiben darf. Die neuesten Patches zu verwenden, kann Unternehmen vor Malware oder sonstigen ungebetenen Eindringlingen schützen. Doch angesichts der Anforderungen, gesetzlichen Vorgaben zu genügen, kann Patch-Management-Software auch CEOs und/oder CIOs vor Auseinandersetzungen mit Regierungsbehörden, internen Auditoren oder Aktionären bewahren.

Dennoch muss die IT immer die Vorteile, eine Aufgabe zu automatisieren, gegen das mögliche Risiko abwägen, dass die Automatisierungssoftware sich nicht immer so verhält wie erwartet. An dieser Stelle wird deutlich, wie wichtig es ist, alle Patches zu testen, bevor man sie an die Zielrechner verteilt.

Eine umfassende Patch-Management-Strategie hält Schwachstellen unter Kontrolle, während sie zusätzlich das Unternehmen und die Führungsebene vor juristischen Auseinandersetzungen schützt. In der modernen Welt der Patch-Management-Compliance kann es sich keine Firma leisten, eines der beiden Risiken zu ignorieren.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Nächste Schritte

Automatisiertes Patch-Management: Der Weg aus der Patch-Hölle

Schwachstellen-Management ist mehr als Patch-Management

Patch-Management-Strategien für persistente und nicht-persistente VDIs

Artikel wurde zuletzt im Dezember 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Vulnerability-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close