Laut neuestem Hacker-powered Security Report wuchs die Anzahl neu entdeckter Sicherheitslücken 2021 im Vergleich zum Vorjahr um über 20 Prozent. Die Angriffswege sind zumeist wenig spektakulär: Schon eine veraltete Software, die im Unternehmen nur noch selten genutzt und bei der manuellen Routineprüfungen gerne übersehen wird, kann als Einfallstor für Schadsoftware dienen. Einen hundertprozentigen Schutz gibt es bisher nicht. Unternehmen können es aber externen kriminellen Angreifern so schwer wie möglich machen: durch ein zentral aufgesetztes und vor allem automatisiertes Patch-Management. Ein Beitrag von Alexander Haugk, Product Manager bei Baramundi Software.

Eine smarte und regelmäßige Patching-Routine ist heute eins der wichtigsten Instrumente zur Absicherung des Unternehmensnetzwerks. Fehlt eine umfassende Automatisierung des Schwachstellenmanagements, erhöht sich das Sicherheitsrisiko selbst bei kleineren oder mittleren Unternehmen sehr schnell. Durch die große Komplexität und Vernetzung moderner IT-Landschaften ist effizientes Patchen gefährdeter Software und Systeme anspruchsvoller denn je.

Sicheres Patchen kostet Zeit und Ressourcen
Nach aktuellen Umfragen unter IT- und Sicherheitsexperten und -expertinnen empfinden 71 Prozent von ihnen das Patchen als einen zu komplexen, umständlichen und zeitaufwendigen Prozess. 57 Prozent sind zudem der Meinung, dass die Komplexität des Patch-Prozesses vor dem Hintergrund des in Corona-Zeiten zunehmenden Home-Office-Trends noch gestiegen ist. Allein das kontinuierliche Durchsuchen von Datenbanken und Blogs der Softwarehersteller auf Informationen zu neuesten Schwachstellen und die dann notwendige individuelle Risikoabschätzung würde ohne Software-basierte Unterstützung immense IT-Ressourcen verschlingen – allerdings ist beim Schließen von Sicherheitslücken gerade der Zeitfaktor entscheidend.

Viele Administratoren bedienen sich auch bereits automatisierter Patch-Prozesse und nutzen dafür eine Reihe verschiedener Anwendungen, um die im Unternehmen eingesetzten Systeme zu überwachen. Was dabei häufig nicht bedacht wird: Der Einsatz mehrerer Überwachungssysteme macht IT-Prozesse in der Regel komplizierter und zeitaufwendiger. Denn nicht immer sind die Lösungen miteinander kompatibel. Zudem erfordern sie jeweils sehr differenzierte Bedienungen, mit denen sich IT-Teams auskennen müssen. Und selbst bei alltäglichen Patch-Prozessen müssen rund um die Installation eines Updates viele Faktoren­ mitberücksichtigt werden.

Um fehlerhafte Konfigurationen oder Kompatibilitätsprobleme beim Patching möglichst frühzeitig zu erkennen und zu beheben, sollten Updates zunächst als mehrstufige Rollouts über sogenannte „Bereitstellungsringe“ erfolgen: Dafür teilt das IT-Team die zu patchenden Computer typischerweise in drei oder mehr Gruppen auf, die erst nacheinander mit dem jeweiligen Update versorgt werden. Nach dem Update von ausgewählten Key User Clients­ erfolgt, wenn dies problemlos gelingt, zunächst die Ausspielung an eine weitere überschaubar limitierte Client-Gruppe, bevor das unternehmensweite Rollout an die restlichen Geräte durchgeführt wird.

Diese Gruppendefinitionen müssen regelmäßig daraufhin überprüft werden, ob die Client-Sequenzierung noch aktuell ist. So sollten sich z. B. nicht alle Clients einer Abteilung im gleichen Ring befinden, damit bei Problemen im Patch-Prozess nicht gleich ein ganzer Unternehmensbereich lahmgelegt wird. IT-Teams müssen zudem prüfen, aus welchen Quellen die teilweise sehr großen Updates an die Geräte verteilt werden. So kann ein WSUS beispielsweise als lokales Update Repository im Einsatz sein oder nicht – mit unterschiedlichen Konsequenzen für das Ausbringen der Updates.

Auch über den eigentlich Update-Prozess hinaus gibt es viele Voraussetzungen, die für ein sicheres Patch-Management unabdingbar sind: IT-Teams müssen die Inventarliste der Unternehmens-IT inklusive aller eingesetzten Assets (Betriebssystemversion, Gerätekategorie, etc.) vollständig und zuverlässig abbilden. Patching-Richtlinien sollten, um höchstmögliche Effizienz zu gewährleisten, optimal auf das individuelle Risiko der verwalteten Geräte und Systeme abgestimmt sein. Durch Patches vorgenommene Änderungen in der Konfiguration müssen zuverlässig und nachvollziehbar dokumentiert werden, damit beim Auftreten von Problemen eine schnelle Fehlersuche möglich ist.

Zentrale Bündelung als Trumpfkarte
Um diesen Prozess zentral und damit übersichtlich und transparent zu steuern, eignet sich eine zentral aufgesetzte automatisierte Patch-Management-Lösung. In der Regel sind diese Module Teil einer umfangreicheren Software Suite, z. B. in ganzheitlich arbeitenden Unified Endpoint Management (UEM)-Lösungen. Daher lassen sich in nur einer einzigen Oberfläche die Ergebnisse von Patch-Prozessen mit allen sicherheitsrelevanten Werkzeugen zusammenfassen. Dies vereinfacht die Überwachung, Verwaltung und den Schutz aller im Unternehmen befindlichen Endgeräte – egal, ob lokal, remote oder mobil – und spart Zeit und Ressourcen.

Die Lösungen verfügen auch über Schwachstellen-Scanner die auf mehrere, branchenweit anerkannte Schwachstellendatenbanken zugreifen, so dass notwendige Patches automatisiert erkannt werden. Durchschnittlich decken UEM-Lösungen heute bereits unzählige bekannte Schwachstellen über das routinemäßige Scannen der IT-Umgebung auf diese Sicherheitsrisiken zuverlässig ab. Für das IT-Team entfällt damit der Kontrollaufwand vor dem Ausspielen der Sicherheits-Updates – das erledigt die Software nach zuvor definierten Abläufen und Kriterien. Das Patch-Management zentralisiert und automatisiert nicht nur die Erkennung, sondern auch den Bezug, die Installation und das Reporting notwendiger Updates. Über die automatisierte Unterstützung lassen sich die Prozesse zudem ideal auf die individuellen Voraussetzungen im Unternehmen abstimmen. Administratoren können dabei nicht nur jederzeit den Patch-Status ihrer IT-Umgebung auf einem zentralen Dashboard transparent nachverfolgen, sondern diese Informationen nach eigenen Präferenzen und Analysebedürfnissen mittels eines Drill-down-Menüs priorisieren oder je nach Client, Schwachstelle und Gefährdungsgrad filtern.

Gute Lösungen unterstützen Filterung über dynamische Gruppen (z. B. der erwähnten Bereitstellungsgruppen): Clients lassen sich nach frei konfigurierbaren Kriterien filtern und nach ihrem jeweiligen Patch-Status abbilden. IT-Teams wissen damit jederzeit genau, wo gerade Handlungsbedarf ist. Deckt die Lösung die Inventarisierung z. B. des Windows Security Center ab, können sich Administratoren auch den Status der Windows-eigenen Schutzmechanismen (Firewall, UAC, Defender, etc.) direkt auf ihr Dashboard anzeigen lassen und im Anschluss automatisierte Reaktionen auf Sicherheitsvorfälle konfigurieren.

Sowohl auf dem Patch-Level selbst als auch auf Ebene des Betriebssystems haben IT-Teams den Patch-Status jedes einzelnen Geräts im Unternehmensnetzwerk schnell im Blick. Damit lässt sich z. B. veraltete Software, für die keine Sicherheitsupdates mehr bereitgestellt werden, zuverlässig identifizieren. Auch die Auslastung der Netzwerkbandbreite während des Rollouts lässt sich durch automatisierte Prozesse optimieren, um laufende IT-Prozesse so wenig wie möglich zu beeinträchtigen. Dafür unterstützen Patch-Management-Lösungen in der Regel die sogenannte „Delivery Optimization“. IT-Teams können so die Bereitstellung mehrerer Patches effizient aufteilen oder entscheiden, dass Geräte, die selten über das interne Netz erreichbar sind, z. B. direkt über die von Microsoft zur Verfügung gestellten Patches­ versorgt werden. Dies spart Bandbreite ein und reduziert die durch sehr große Sicherheits-Updates Belastung der VPN-Verbindung ins Unternehmensnetzwerk.

Effiziente Prozesse und Compliance
Auch wenn Softwarehersteller ebenfalls eigene, integrierte Routinen zur Schwachstellenkorrektur anbieten, bietet ein zentraler Ansatz Vorteile – auf den meisten Geräten neben Windows und Office laufen häufig weitere Applikationen (z. B. Java). Die umfassenden Filter- und Analysefunktionen ganzheitlicher Lösungen integrieren diese unterschiedlichen Anforderungen passgenau und ermöglichen die Erstellung eines individuellen Sicherheitsprofils des eigenen Unternehmens.

Über das Patch-Management hinaus kann ein solches Sicherheitsprofil dann zur idealen Grundlage für weitergehende Entscheidungen im Sinne der IT-Sicherheit werden, so dass Unternehmen im Falle einer akuten Bedrohung in die Lage versetzt werden, schnell zu reagieren und weitere Maßnahmen einzuleiten.

Zunehmend wichtig wird heute das Patch-Reporting im Hinblick auf Compliance-­Anforderungen: Automatisierte Lösungen ­liefern dies gleich mit. Unternehmen können so jederzeit die aktuelle Sicherheits­status sowohl intern als auch extern transparent nachweisen und die Einhaltung von ­Compliance-Anforderungen dadurch sicherstellen.