icetray - Fotolia

Einsatzszenarien für automatisierte Patch-Management-Tools

Nicht nur große Firmen profitieren von automatisiertem Patch-Management. Verschiedene Einsatzszenarien zeigen, wie Sie Ihre IT-Umgebung schützen.

Das Patchen von Software ist eine bewährte Maßnahme, die dazu beiträgt, die IT-Infrastruktur und die Rechner von Endnutzern vor möglichen Sicherheitsbedrohungen zu schützen. Gleichzeitig ermöglicht sie die Installation der neuesten Bugfixes und Funktionen.

Die meiste Software wird vom Softwarehersteller entweder in regelmäßigen Abständen ‑ etwa von Microsoft am sogenannten Patch Tuesday ‑ oder bei akutem Bedarf aktualisiert. In diesem Artikel erörtern wir, ob eine Firma Infrastrukturserver und die PCs von Endanwendern manuell patchen sollte oder ob es sinnvoller ist, ein automatisiertes Patch-Management-Tool anzuschaffen, mit dem sich die Zeit reduzieren lässt, die das IT-Personal aufwendet, um Betriebssysteme und Anwendungen up to date zu halten.

Aus dem gerade Gesagten wird deutlich, dass es nicht darum geht, ob man patchen sollte oder nicht: Unternehmen müssen ihre Computersoftware durch das Einspielen der entsprechenden Patches aktuell halten. Unternehmen können sogar gesetzlich dazu verpflichtet sein, Software regelmäßig zu patchen. In den USA finden sich entsprechende Bestimmungen im Sarbanes-Oxley Act (SOX), den Federal Rules of Civil Procedure (FRCP) und dem Health Insurance Portability and Accountability Act (HIPAA). In Deutschland fordert das IT-Sicherheitsgesetz entsprechende Maßnahmen. Diese gesetzlichen Vorschriften sehen empfindliche Geldstrafen und sogar mögliche strafrechtliche Anklagen für CEOs und CFOs vor, die sich nicht an die Bestimmungen halten.

Auch in den meisten anderen Ländern existieren ähnliche Regelungen. Daher sollte das Patch-Management für jede Firma eine hohe Priorität besitzen. Die Entscheidung, ein automatisiertes Patch-Management bereitzustellen, wird durch eine Reihe von Faktoren beeinflusst. Einige davon sind eng mit einer Organisation verbunden, andere wiederum mit der Funktion der IT als Ganzes innerhalb dieser Organisation.

Der Patch-Vorgang

Je nach Größe der Organisation und den von der IT erwarteten oder an sie übertragenen Aufgaben gilt das Patch-Management in aller Regel als Bereich, um den sich IT-Fachleute kümmern. In den meisten Firmen gehört die entsprechende Infrastruktur zur IT. Dazu zählen unter anderem Server, Load Balancer, Storage-Arrays, Appliances und die Netzwerkausstattung. Offenbar muss die IT immer die Verantwortung für das zeitnahe Patchen dieser Infrastrukturserver und -geräte übernehmen. Allerdings empfiehlt sich auf jeden Fall, eine Sandbox-Umgebung anzulegen, in der neue Patches vor der Verteilung an Server und andere Geräte getestet werden können.

Die IT muss nicht nur Infrastrukturcomputer mit Patches auf dem aktuellen Stand halten, sondern auch ein Verfahren entwickeln und bekannt machen, um die Computer der Endbenutzer ebenfalls mit den neuesten Patches zu versorgen. Es gibt zwei mögliche Methoden, um Patch-Management für Endanwender zu implementieren:

  1. Sie definieren und kommunizieren ein schriftlich festgehaltenes Verfahren, das alle Mitarbeiter befolgen, damit ihre auf dem Desktop oder Laptop laufenden Betriebssysteme sowie ihre lokal installierten Anwendungen stets up to date sind.
  2. Sie stellen ein automatisiertes Patch-Management-System bereit, das der IT die Möglichkeit einräumt, streng zu kontrollieren, welche Patches zu welchem Zeitpunkt verteilt werden.
Obwohl durch die Implementierung einer umfassenden Patch-Management-Infrastruktur sicher hohe Kosten entstehen können, wiegen die Vorteile eines automatisierten Patch-Managements diese Kosten für Großunternehmen höchstwahrscheinlich bei weitem auf.

Wenn eine Organisation darauf baut, dass die Mitarbeiter ihre eigenen Computer auf dem aktuellen Stand halten, könnte es zudem sinnvoll sein, gelegentlich eine repräsentative Stichprobe von Anwender-PCs zu inventarisieren. So gehen Sie sicher, dass die Benutzer die firmeneigenen Richtlinien für das Patch-Management einhalten. Wenn Sie darauf vertrauen, dass Ihre Mitarbeiter Betriebssystem und Anwendungen selbstständig patchen, sollten Sie sich aber bewusst sein, dass ein Unternehmen dadurch haftbar gemacht werden kann, falls es staatlichen oder betrieblichen Compliance-Regelungen unterliegt. Bei der Frage, ob eine Organisation auf die Disziplin ihrer Mitarbeiter oder auf ein automatisiertes Tool für das Patch-Management vertrauen sollte, gilt es auf jeden Fall, die potenziellen finanziellen Auswirkungen einzubeziehen, wenn man gegen staatliche und Compliance-Bestimmungen verstößt, falls das Patch-Verfahren diesen Regelungen nicht gerecht wird.

Wenn ein Unternehmen über Inventarisierungs-Tools wie Microsoft System Center Configuration Manager oder Symantec Endpoint Management (ursprünglich unter dem Namen Altiris bekannt) verfügt, ist die zugrunde liegende Inventarisierungsinfrastruktur bereits vorhanden, um regelmäßige Audits von Softwarelizenzen und Patch-Leveln durchzuführen. Wenn Inventarisierungs-Audits zeigen, dass Anwendungen für Endbenutzer nicht mehr auf dem aktuellen Stand sind, kann eine Patch-Management-Software verwendet werden, um die Compliance mit Patch-Richtlinien oder -Anforderungen zu gewährleisten.

Obwohl durch die Implementierung einer umfassenden Patch-Management-Infrastruktur sicher hohe Kosten entstehen können, wiegen die Vorteile eines automatisierten Patch-Managements diese Kosten für Großunternehmen in stark regulierten Branchen höchstwahrscheinlich bei weitem auf. Werfen wir einen Blick auf einige Einsatzszenarien, die helfen werden, die möglichen Business Cases für das automatisierte Patch-Management näher zu erläutern.

Automatisiertes Patch-Management: Einsatzszenario 1

Das erste Einsatzszenario für den automatisierten Patch-Management-Prozess kommt im Allgemeinen zum Tragen, wenn die Gesamtzahl der Mitarbeiter zuzüglich der Gesamtzahl der Server ungefähr 50 erreicht. An diesem Punkt kann die IT es nicht mehr riskieren, sich darauf zu verlassen, dass die Mitarbeiter ihr Betriebssystem und die lokal installierten Anwendungen mittels durch die IT und Endbenutzer manuell durchgeführtem Patchen up to date halten.

Darüber hinaus wird das manuelle Patchen von Servern ab jetzt langsam zu einem sehr zeitintensiven Vorgang. Eine rasche Kosten-Nutzen-Analyse (siehe Patch-Management-Software: eine Kosten-Nutzen-Analyse in diesem Artikel) macht deutlich, dass die IT es sich aus zeitlichen Gründen nicht länger leisten kann, Patches auf Servern und anderen Infrastrukturgeräten manuell zu installieren, sobald sich mehr als zehn bis 15 Server oder sonstige Patch-fähige Geräte in der Infrastrukturumgebung befinden.

Eine ähnliche Kosten-Nutzen-Analyse sollte für das Patchen der Computer von Endbenutzern erfolgen. Etliche Firmen nutzen Inventarisierungssoftware, die Berichte generieren kann, die zeigen, welche Betriebssysteme und Anwendungen auf den Rechnern von Endbenutzern und auf Servern installiert sind, außerdem die Version und den Patch-Level der gesamten installierten Software. Diese Berichte können kleineren IT-Abteilungen auch dabei helfen, zu überwachen, wie gut die Endbenutzer ihre Patch-Level im Auge behalten.

Automatisierte Patch-Management-Tools bieten nicht nur für Großunternehmen eine hervorragende Option, sondern auch für kleinere Firmen, in denen das Patchen durch Endanwender unzureichend ist und die Firma somit durch Malware gefährdet ist und mögliche rechtliche Konsequenzen fürchten muss.

Automatisiertes Patch-Management: Einsatzszenario 2

Das zweite Business-Case-Szenario für das automatisierte Patch-Management  ist von besonderem Interesse für ein börsennotiertes Unternehmen, das gesetzlichen Bestimmungen und Regelungen wie SOX, FRCP und HIPAA unterliegt. In Deutschland betrifft das Firmen, die Geschäftsbeziehungen in die USA unterhalten. Das IT-Sicherheitsgesetz verpflichtet aber auch andere Firmen dazu, ihre Software auf aktuellem Stand zu halten. In diesen Fällen ist das kontinuierliche Patch-Management eine gesetzlich vorgeschriebene Anforderung, mit erheblichen straf- und zivilrechtlichen Maßnahmen im Schadensfall, die bei Verletzung dieser Bestimmungen gegen CEO und CFO ausgesprochen werden können.

Über das Erfüllen gesetzlicher Vorgaben hinaus kann das Patchen auch erforderlich sein, um die Organisation vor potenziellen Klagen von Kunden, Lieferanten und anderen zu schützen, die möglicherweise durch Patch-bedingt auftretende Probleme im Unternehmensnetzwerk finanziell geschädigt wurden. Wenn eine Firma es nicht schafft, ihre Computer und anderen Geräte mit den empfohlenen Patches auf dem aktuellen Stand zu halten, kann dies zu Rechtsstreitigkeiten mit Kunden, Partnern und sonstigen betroffenen Dritten führen. Wenn zum Beispiel Malware über einen Bug, für den bereits ein Fix zur Verfügung gestellt wurde, in die IT-Infrastruktur einer Organisation eindringt und diese Malware zum absichtlichen oder unabsichtlichen Bekanntwerden von persönlich identifizierenden Informationen (PII) führt, die andere schädigen, kann die darauf folgende zivilrechtliche Haftung umfangreich und permanent ausfallen.

Betrachten Sie diesen Business Case als Beispiel dafür, wie sich das Risiko von finanziellen und rechtlichen Konsequenzen im Zusammenhang mit nicht (ausreichend) gepatchten Infrastruktur- und Endanwendercomputern einer Organisation entschärfen lässt. Ungeachtet der Kosten von automatisierten Patch-Management-Tools ist es wichtig, zu berücksichtigen, was für Aktiengesellschaften auf dem Spiel steht, die über keinen nachweisbaren, reproduzierbaren automatisierten Patch-Management-Prozess verfügen. Je nach der spezifischen Betriebsumgebung einer Firma und den staatlichen Compliance-Richtlinien geht es um eine Menge Zeit, Geld und Kundenakzeptanz, sollte ein Patch-bedingter Vorfall den Unternehmens-Stakeholdern Schaden zufügen. Die Kosten, um automatisierte Patch-Management-Tools zu implementieren, sind üblicherweise relativ gering verglichen mit den Kosten, um die Firma wegen eines fehlenden Patch-Managements bei Rechtsstreitigkeiten oder behördlichen Maßnahmen zu verteidigen.

Patch-Management-Software: eine Kosten-Nutzen-Analyse

Die Entscheidung, ob ein Patch-Management-Produkt sich für Ihr Unternehmen eignet, ist mit einer Reihe von Fragen über die verschiedenen offenen und versteckten Kosten der Implementierung von Patch-Software verbunden. Dem gegenüber stehen die wahrgenommenen Vorteile. Hier sind einige wichtige Aspekte bezüglich einer Kosten-Nutzen-Analyse für das Patch-Management:

  • Wie viel kostet die Patch-Software selbst? Das gilt sowohl für die anfangs gekauften Lizenzen als auch für die fortlaufende Produktwartung und den Support.
  • Welche Kosten entstehen für die zugrunde liegende Infrastruktur, die erforderlich ist, damit die Patch-Software läuft? Läuft die Patch-Software lokal in einem firmeneigenen Rechenzentrum oder auf einer Cloud-basierten Plattform?
  • Was sind die personellen Anforderungen, einschließlich Mannstunden und Schulungen, die notwendig sind, um die Patch-Software zu implementieren und zu administrieren? Ändern sich diese Anforderungen, wenn die Software Cloud-basiert ist im Gegensatz zu einer lokal gehosteten Lösung innerhalb einer vorhandenen Firmen-Infrastruktur?
  • Spart das automatisierte Patch-Management personellen Einsatz und Zeit verglichen mit einer manuellen Patch-Strategie?
  • Gibt es sonstige finanzielle Gesichtspunkte, die spezifisch für Ihr Unternehmen sind und ebenfalls die tatsächlichen Kosten von manuellem Patchen gegenüber automatisiertem Patchen beeinflussen können? Falls zum Beispiel Ihre Firma besonderen staatlichen und Compliance-Bestimmungen unterliegt, die im Falle von nicht aktuell gehaltenen Patches eine zivilrechtliche Haftung vorsehen, achten Sie darauf, dies in Ihrer Analyse zu berücksichtigen.

Best Practices für das automatisierte Patch-Management

Nachfolgend finden Sie eine Reihe von hilfreichen Best Practices und Empfehlungen, die Sie beim Recherchieren, Evaluieren, Beschaffen und Bereitstellen von automatisierten Patch-Management-Tools beachten sollten, um Ihre digitalen Assets zu schützen:

Verschaffen Sie sich eine aktuelle Übersicht über den Patch-Status Ihrer Infrastruktur und der Geräte der Endbenutzer. Dazu können Sie entweder eine repräsentative Stichprobe von Geräten manuell inventarisieren oder ein automatisiertes Software-Inventarisierungs-Tool verwenden. Es sollte in der Lage sein, Softwareversionen und Patch-Level von Betriebssystemen und Anwendungen zu erkennen und zu überwachen.

Führen Sie eine Kosten-Nutzen-Analyse durch, um zu bestimmen, ob die Firma es rechtfertigen kann, einen automatisierten Patch-Management-Prozess bereitzustellen. Beispielsweise ist für ein kleines Start-up im Bereich Softwareentwicklung, das noch nicht begonnen hat, seine Produkte öffentlich zu verkaufen ‑ und nur über eine Handvoll Mitarbeiter verfügt ‑, das Risiko eines Patch-bedingten Vorfalls relativ gering, der Kunden oder Mitarbeiter schädigt. Im Gegensatz dazu ist ein in der Softwareentwicklung tätiges Unternehmen mit einem öffentlich verfügbaren Produkt, das die Kreditkartendaten von Kunden erfasst und speichert, in hohem Maße anfällig für einen Patch-bedingten Vorfall, der zum allgemeinen Bekanntwerden von PII führt. Das könnte sich katastrophal auf die bereits erreichte Kundenakzeptanz und das Gesamtgeschäft auswirken.

Achten Sie darauf, jedes infrage kommende Patch-Management-Produkt in der Firmenumgebung unter Produktivbedingungen zu testen, um sicherzustellen, dass es mit den vorhandenen Computern und Geräten kompatibel ist. Für diese Testmethode brauchen Sie einige Produktionsrechner, um die Kompatibilität mit der Produktivumgebung zu gewährleisten. Die meisten Patch-Management-Anbieter offerieren eine 30-tägige Testversion ihrer Software, die sich in einer Umgebung produktiv nutzen lässt.

Erwägen Sie ein Cloud-basiertes Patch-Management-Produkt wie Kaseya oder Panarama9, bei dem der Patch-Management-Anbieter dafür verantwortlich ist, dass die Cloud-Infrastruktur für das Patch-Management immer mit höchster Performance läuft. Cloud-basierte Patch-Management-Produkte stellen darüber hinaus sicher, dass die Patch-Management-Software, die in der Cloud läuft, immer aktuell ist.

Großunternehmen mit vorhandenen Softwaresuiten, die Patch-Management-Funktionen enthalten, können diese bestehende Infrastruktur nutzen, um lokal installierte und verwaltete Patch-Management-Software zu unterstützen, wenn sie erkennen, dass die Verwaltung von lokal installierter Patch-Software regelmäßig administriert werden muss.

Der Zugriff auf Firmennetzwerke mit mobilen Geräten, dazu zählen außer vom Unternehmen zur Verfügung gestellte auch privat mitgebrachte (BYOD) Mobilgeräte, wird mittlerweile von einer Vielzahl von Firmen erlaubt. Stellen Sie sicher, dass die Patch-Management-Richtlinie der Organisation auch eine Methodik und Funktionalität enthält, um mobile Geräte wie Tablets und Smartphones zu patchen, die sich mit dem Unternehmensnetzwerk verbinden.

Testen Sie Patches immer in einer Sandbox-Umgebung. Auf diese Weise stellen Sie die Kompatibilität mit Betriebssystemen und Anwendungen sicher, nachdem ein Patch-Management-Produkt ausgewählt wurde. Wenn eine Organisation nicht über die notwendige Infrastruktur verfügt, um eine solche Sandbox-Umgebung zu hosten, sollten Sie wissen, dass viele der großen Cloud-Hoster wie Amazon Web Services und Microsoft Azure kostenlose oder sehr preisgünstige Hosting-Optionen für virtuelle Server anbieten, die sich perfekt für Testumgebungen und Sandboxes in kleinem Maßstab eignen.

Patch-Management für alle?!

Das Patch-Management ist für eine große Zahl von Unternehmen ein häufig vernachlässigter Aspekt des digitalen Asset-Managements, aber gesetzliche Bestimmungen machen heutzutage das Patch-Management für die IT obligatorisch. Anwendungssoftware und Betriebssysteme mit den neuesten Patches auf dem aktuellen Stand zu halten, schützt ein Unternehmen auch vor Malware-Angriffen aufgrund von versteckten Bugs und anderen Schwachstellen. Außerdem garantiert das automatisierte Patch-Management, dass bereitgestellte Software die aktuellsten Funktionen und Fähigkeiten enthält, die von dem Hersteller der Anwendung oder des Betriebssystems angeboten werden.

Der nächste Artikel über das automatisierte Patch-Management beschäftigt sich näher mit den Kriterien, die Organisationen vor dem Kauf des für ihre Bedürfnisse und IT-Umgebung am besten geeigneten automatisierten Patch-Management-Produkts berücksichtigen müssen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im März 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Vulnerability-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close