Effektive Verwaltung von Sicherheits-Patches
Jede IT-Infrastruktur, die über die neuesten Sicherheits-Patches verfügt, dürfte die meisten der letzten Virusepidemien unbeschadet überstanden haben. Es ist jedoch nicht immer einfach, die Infrastruktur stets auf dem neuesten Stand zu halten. Im Folgenden finden Sie einige Tipps und Fakten für die unproblematische Update-Verwaltung in einem kleinen Unternehmen.
Es dürfte wohl bekannt sein, dass die beste Sicherheitsmaßnahme eines IT-Managers darin besteht, die IT-Infrastruktur stets mit den neuesten Sicherheits-Patches zu aktualisieren. Was jedoch für einzelne Benutzer, die Zugriff auf automatische System-Updates haben, trivial klingen mag, kann schnell zu einem Albtraum werden, wenn es um die Verwaltung einer gesamten IT-Infrastruktur eines Unternehmens geht. IT-Manager sind mit vier zentralen Problemen konfrontiert:
- Die Verwaltung einer heterogenen Infrastruktur mit unterschiedlichen Update-Anforderungen
- Die Verwaltung von unterschiedlich wichtigen Patches (je nach System)
- Die Notwendigkeit, die verschiedenen Updates zu testen, bevor sie installiert werden
- Zunehmende Einschränkungen bei der Implementierung
Benennen Sie einen Mitarbeiter zum "Patch-Manager"
Wenn Ihre Infrastruktur sehr heterogen ist (z. B. viele verschiedene Windows-Versionen zusätzlich einiger freier und kommerzieller Unix-Versionen), erhöht sich der für die Auswahl der richtigen Patches erforderliche Aufwand mit der Anzahl der im Unternehmen installierten Systeme. In diesem Fall benötigen Sie eine gut strukturierte Systeminventarisierung und Erfassung von Sicherheits-Patches. Die kostengünstigste Lösung für kleine Unternehmensstrukturen ist die Benennung eines "Sicherheits-Intelligenz-Managers“, der alle sicherheitsrelevanten Informationen zentral erfasst und anhand eines flexiblen Plans agiert. Dieser Mitarbeiter sollte mit allen im Unternehmen eingesetzten Betriebssystemen vertraut sein und spezielle Newsletter und Mailing-Listen für Warnhinweise der relevanten Hersteller abonniert haben. Ein solcher Service wird auch von verschiedenen Dienstanbietern angeboten. So werden beispielsweise immer dann Warnmeldungen an ein Unternehmen gesendet, wenn in einem der eingesetzten Produkte eine Schwachstelle entdeckt wurde.
Die Rolle des Dienstanbieters ist, die Wichtigkeit der einzelnen neuen Patches für ein bestimmtes System zu beurteilen. Systemanwender und Sicherheits-Manager müssen gemeinsam festlegen, welches System zuerst aktualisiert werden muss (weil z. B. extern darauf zugegriffen werden kann oder das System als Host für einen unternehmenskritischen Dienst mit anfälligen Funktionen eingesetzt wird usw.). Außerdem müssen sie entscheiden, ob die Installation des Sicherheits-Updates nicht sofort erforderlich ist (weil z. B. der anfällige Dienst nicht aktiviert ist oder die Schwachstelle nur lokal ausgenutzt werden kann). Die Automatisierung dieser Aufgabe ist besonders schwierig in kleinen Unternehmen, die sich auf die aktive Mitarbeit der Angestellten und des Sicherheits-Managers und nicht zuletzt auf die Verfügbarkeit zuverlässiger Sicherheitsaktualisierungen verlassen müssen.
Vergessen Sie nicht, Tests durchzuführen!
Nachdem die erforderlichen Patches identifiziert und die anfälligen Systeme nach ihrer Priorität eingestuft wurden, muss jedes Unternehmen Tests durchführen, um sicherzustellen, dass der Patch keinen Konflikt mit anderen Unternehmensanwendungen auf den Live-Servern verursacht. Auch hier ist die Lösung nicht einfach. Sie müssen einen oder mehrere Test-Server einrichten, auf denen Sie die unternehmenskritischen Anwendungen (CRM-Systeme, Datenbanken, proprietäre Anwendungen, Office-Tools usw.) installieren und ausführen sollten. Wenn Sie den Patch zuerst auf diesen Rechnern installieren, meiden Sie spätere Inkompatibilitäten und unangenehme Überraschungen. Unternehmen, denen es nicht möglich ist, solche Tests durchzuführen, können nur hoffen, dass sich der Patch wieder deinstallieren lässt (dies ist zunehmend erforderlich, besonders bei Windows-Patches).
Fallgruben bei der Implementierung
Erst in dieser Phase können die ausgewählten und getesteten Patches auf den Live-Computern installiert werden. Kleinere Unternehmen können hierfür einfach automatische Updates aus dem Internet herunterladen, die für die meisten Anwendungen und Betriebssysteme verfügbar sind. Anschließend müssen Sie nur noch die Updates auf jedem Server installieren. Das geht schnell und einfach, auch wenn einige Dutzend Rechner aktualisiert werden müssen.
Andernfalls sollten Sie die Verwendung von Tools für die Remote-Distribution in Betracht ziehen. Dabei kann es sich um Patch-spezifische (einige Hersteller bieten kostenlose Versionen) oder allgemeine Funktionen für die Verteilung von Software handeln. In jedem Fall ist zu beachten, dass alle Server nach jeder Installation neu gestartet werden müssen. Schließlich wollen Sie vermeiden, dass verschiedene Server mehrmals am Tag gleichzeitig heruntergefahren werden.
Glossar:
Unix: Vor 30 Jahren entwickeltes Betriebssystem, in erster Linie auf Unternehmens-Server ausgerichtet. Es gibt sowohl kommerzielle als auch freie Versionen von Unix (z. B. FreeBSD). Wenn auch aus historischer Sicht nicht ganz korrekt, gilt im Allgemeinen, dass Linux aus Unix entwickelt wurde.
Dienst: In einem Betriebssystem oder Server aktivierte Softwarefunktionalität.
Unternehmensanwendungen: Vertikale Softwareanwendungen, spezifisch für die Geschäftsabläufe eines Unternehmens
CRM: Customer Relationship Management, Verwaltung der Kundenbeziehungen
Proprietäre Anwendung: Vom Unternehmen selbst oder von einem externen Team entwickelte Anwendung, die den spezifischen Anforderungen des Unternehmens gerecht wird.
