Best Practice: Ein optimales Patchmanagement herstellen
Für Cyberkriminelle ist es ein Vollzeitjob, Schwachstellen in Betriebssystemen und weit verbreiteter Drittanbietersoftware ausfindig zu machen, durch die sie in die IT-Systeme von Unternehmen einfallen. Softwarehersteller können nach Bekanntwerden einer Lücke meistens nur reagieren — und zwar indem sie immer wieder Patches ausliefern und Schadensbegrenzung betreiben. Das soll die Sicherheitslücken in der Software möglichst schnell schließen. Wer also seine Anwendungen und Programme nicht stets auf den neuesten Stand hält, riskiert potentiell zerstörerische Malware- und Hacking-Attacken.
Das Patchmanagement ist ein Teilprozess des Systemmanagements, welcher die Beschaffung, die Überprüfung und die Einrichtung vor allem sicherheitsrelevanter Updates umfasst. Diese effiziente Verteilung von Software-Patches soll dafür sorgen, dass die Mitarbeiter mit aktuellen und vor allem sicheren Programmversionen arbeiten. Wie so oft führen allerdings auch beim Patchmanagement viele Wege nach Rom. Nicht jeder Weg ist dabei jedoch gleich gut. In diesem Artikel wollen wir zeigen, was wir bei mod IT Services unter einem optimalen Patchmanagement verstehen.
Ganzheitlicher Überblick ermöglicht effektives Patchmanagement
Zunächst einmal muss das Wissen und ein Bewusstsein geschaffen werden, was für das Patchmanagement erforderlich ist. Konkret heißt das: Der Administrator muss genau wissen, auf welchen Mitarbeiter-PCs welche Software genutzt werden und wo besonders sicherheitsanfällige Softwareversionen zu finden sind, die dringend erneuert werden müssen. In vielen Fällen wird das Patchmanagement auf das Einspielen von Windows Updates reduziert — um sich die Arbeit so einfach wie möglich zu machen, da man weitgehend auf das vorinstallierte Windows Server Update Services (WSUS) zurückgreifen kann. WSUS bietet zwar den oben beschriebenen Überblick, allerdings nur für Microsoft Software. Das reicht für ein effektives Patchmanagement allerdings bei weitem nicht aus. Kaum ein Administrator aber wird mit mehreren Patchmanagement-Systemen experimentieren wollen. Idealerweise sollte stattdessen alles zentral von einem Cockpit aus steuerbar sein.
Darum nutzen wir für das Patchmanagement Matrix42 Empirum, eine ganzheitliche und modulare Lösung für das Workplace Management, die das Patchmanagement je nach Bedarf als optionales Modul beinhaltet. Matrix42 Empirum kann wie auch WSUS Microsoft Software erkennen und automatisch updaten, unterstützt zusätzlich auch Software von dutzenden anderen Herstellern. Damit erhält der Administrator von einer einzigen „Schaltzentrale“ aus eine ganzheitliche Sicht auf die genutzten Softwareversionen im Unternehmen und kann diese aktualisieren, ohne zwischen verschiedenen Patchmanagement-Systemen hin- und herwechseln zu müssen.
Hoher Automatisierungsgrad schafft hohe Sicherheit
Ein weiterer großer Vorteil von Matrix42 Empirum sind die umfangreichen Möglichkeiten zur Automatisierung. Warum ist Automatisierung so wichtig? Ein automatisiertes Patchmanagement sorgt unter anderem dafür, dass es im Unternehmen nicht zu einem Versionschaos bei der eingesetzten Software kommt, sondern dass alle Mitarbeiter auf dem aktuellsten Stand arbeiten. Werden besonders sicherheitskritische Updates veröffentlicht, können diese mithilfe eines automatisierten Patchmanagements sehr schnell und bei sehr vielen Arbeitsplätzen bereitgestellt werden, ohne dass ein Mitarbeiter-PC dabei versehentlich vergessen wird.
Schwachstellenscans ergänzen das Patchmanagement
Wie fast jede Technik kann auch das beste Patchmanagement noch ergänzt werden. Es gibt keine vollkommene Garantie, dass durch Patchmanagement keine problematischen Softwareversionen auf den Mitarbeiter-PCs zurückbleiben. Auch weil einige Hersteller die sicherheitskritischen Updates nicht selten nur mit großer Zeitverzögerung bereitstellen. Es können manchmal mehrere Monate zwischen der Entdeckung einer Schwachstelle in einer Software und dem Zeitpunkt vergehen, an dem ein Patch gegen diese Schwachstelle vom Hersteller veröffentlicht wird. Darum empfehlen wir unseren Kunden die kontinuierliche Durchführung von professionellen Schwachstellenscans, mit denen auch die kleinsten Lücken gefunden werden, die das Patchmanagement übersieht.
Testen, verteilen und absichern
Wichtig für CTOs, CIOs und IT-Verantwortliche ist es, ein vom Hersteller bereitgestelltes Update zunächst umfassend zu testen, bevor dieses verteilt im Unternehmen wird. Wir bei mod IT setzen zu diesem Zweck mehrstufige Testszenarien und spezielle Testsysteme ein, der in Sachen Hard- und Softwareausstattung möglichst identisch mit einem typischen Mitarbeiter-PC ist. Zusätzlich kommen einige Testnutzer bestehend aus den Mitarbeitern zum Einsatz, die die neue Software oder das neue Updatepaket auf Herz und Nieren testen. Nur wenn deren Feedback positiv ausfällt und keine technischen Besonderheiten auffallen, wird das Update schlussendlich bei allen Mitarbeitern im Unternehmen zentral und automatisiert verteilt. Effektives Patchmanagement ist von Beginn an gut durchdacht, wird kontinuierlich getestet und angepasst, um das Sicherheitsrisiko um ein Vielfaches zu minimieren. Dabei arbeiten unsere Fachbereiche in einem vertrauenswürdigem Dialog mit unserem Kunden zusammen, um die bestmögliche IT-Sicherheit zu erreichen.
