02.03.2007 | Autor / Redakteur: Walter Elliot / Ulrike Ostler
Angriffe aufs Netz legen Server lahm, zerstören Daten und verschwenden die Zeit hochbezahlter Mitarbeiter. Das lässt sich durch vollständiges und rechtzeitiges Aufspielen von Sicherheits-Patches verhindern. Doch die Hacker-Szene lernt mit.
Sicherheits-Patches sind kein Allheilmittel, zumindest wenn sie allein alles retten sollen. Zum Beispiel nimmt mit den immer häufigeren und vielfältigeren Sicherheitsbedrohungen die Zahl der Sicherheits-Patches zu, die über die IT-Infrastruktur verteilt werden müssen. Zwar geben die Hersteller jede Woche neue Sicherheitshinweise heraus, aber die Angriffe und Sicherheitsgefahren scheinen dem in punkto Geschwindigkeit in nichts nachzustehen.
Nach Expertenmeinung werden Unternehmen in diesem Jahr über 13 Milliarden US-Dollar für die Minderung und Behebung von Schäden ausgeben, die durch Viren und andere Attacken verursacht wurden. Dieser Kostenfalle können sicherheitsbewusste Unternehmen mit der Entwicklung eines neuen Patch-Management-Modells begegnen.
Ein wirkungsvolles Patch-Management basiert heute auf einer proaktiven, ganzheitlichen und systematischen Herangehensweise. Sicherheitsstrategen überlassen nichts mehr dem Zufall.
Vom legendären Sasser-Virus existierten beispielsweise vier verschiedene Varianten, aber nur mit der aktuellsten Patch-Überarbeitung lässt er sich völlig unschädlich machen. Das muss ein Admin wissen, um unnötigen Zeitaufwand durch mehrfaches Einspielen von Patches zu vermeiden.
Und ebenso wichtig ist: Er muss wissen, ob ein vorher herausgegebenes und installiertes Patch korrekt und vollständig auf alle relevanten Systeme aufgespielt ist. Schon aus diesem Grund sollten alle relevanten Sicherheitsinformationen dem gesamten IT-Team bekannt sein, damit die Teammitglieder die entsprechenden Update-Entscheidungen treffen können.
Moderne Tools, die auf Regeln basieren, sind selbstverwaltend und selbstreparierend. Dadurch wird die Patch-Management-Verantwortung zum Client-Endpunkt verlagert, der sich mit Hilfe eines kleinen Agents ständig selbst überprüft, um zu testen, ob er den definierten Richtlinien entspricht und den gewünschten Status aufweist.
Das Resultat ist quasi ein sich selbst kontrollierender Prozess. Geräte, deren Status wegen einem fehlenden Sicherheits-Patch von den gewünschten Vorgaben abweicht, erhalten automatisch ein Update, ohne dass sich die IT-Abteilung einschalten muss. Das senkt die Arbeitskosten für die Desktop- und Server-Management-Gruppen, denen Berichte über den Bedrohungsstatus jedes einzelnen Computers zur Verfügung stehen.
Die besonderen Anforderungen dezentraler und mobiler Nutzer gestalten das Patch-Management allerdings deutlich schwieriger. Mobile Mitarbeiter sind meist nur in unregelmäßigen Abständen und oft über langsame, instabile Verbindungen mit dem Netzwerk verbunden. Deshlab stellt es eine eine Herausforderung für Netzadminstratoren dar, sicherzustellen, dass alle Computer über die neuesten Patches verfügen.
Patch-Management-Tools verfügen bereits über verschiedene Mechanismen und Techniken, um diesem Problem wirkungsvoll zu begegnen. Beispielsweise freut sch jeder Patch-Manager, wenn die Verfügbarkeit einer Netzwerkverbindung automatisch festgestellt und die Bandbreite automatisch angepasst wird, um sicherzustellen, dass das Abrufen von E-Mails ohne große Leistungseinbußen erfolgt.
Sehr hilfreich ist es auch, wenn nicht jede Verbindungsunterbrechung zwangsläufig zum Abbruch der Installationsroutine von Updates führt. Statt den Patching-Prozess noch einmal von vorne zu beginnen, startet der Download dort wieder, wo er unterbrochen wurde.
Ein weiterer wichtiger Aspekt ist die größere Flexibilität für die Benutzer. Beispiel: Bei den unterschiedlichen Verbindungen und den verschiedenen zeitlichen Verfügbarkeiten der Benutzer kann es ratsam sein, einem Benutzer eine bestimmte Anzahl von Tagen einzuräumen, um die er die Installation von nicht akut erforderlichen Patches verschieben kann. Ebenso lassen sich Zeitfenster für verbindliche Installation festlegen, die der User einhalten muss.
Automatisierte Lösungen bringen nur dann den vollen Nutzen, wenn sie die für ein korrektes Patch-Management erforderlichen Bericht- und Analysemöglichkeiten beinhalten. Ein richtig konfiguriertes Patch Management liefert alle Einzelheiten zum Status der IT-Infrastruktur.
Zunächst beinhalten Reports operative Bestandslisten der IT-Infrastruktur und der eingesetzten Softwareversionen einschließlich des Patch-Status. Durch analytisches Reporting erweitert sich der Blick auf unternehmensweite Entwicklungen und Planungshorizonte. IT Business Intelligence hilft in diesem Zusammenhang der Geschäftsleitung den aktuellen Sicherheitsstand in der Infrastruktur nachzuvollziehen.
Mit den erweiterten Berichtsfunktionen lassen sich Sicherheitsmaßnahmen unternehmensweit messen und Prozesse überwachen. Die Berichte sind leicht zu handhaben und von überall zugänglich. Ein solches Executive Dashbord gilt inzwischen als eines der flexibelsten Steuerungsinstrumente im Security-Management.
Sicherheitsgefahren können völlig unabhängig von der Anwendung, der Betriebssystemversion oder dem Hersteller entstehen. Deshalb müssen aktuelle Patch-Management-Lösungen in der Lage sein, Sicherheits-Patches von allen Herstellern auf allen Betriebssystemen automatisch zu verteilen.
Die Realität jedoch sieht so aus, dass Sicherheits-Patches, so wichtig sie auch sein können, nur einen Teil des gesamten Puzzles darstellen. Deshalb benötigen IT-Abteilungen eine Lösung, die nicht nur Sicherheits-Patches, sondern auch Anwendungen, Anwendungs-Updates, Service Packs und Anti-Virus-Updates implementieren und verteilen kann.
Das Patch-Management bewegt sich deshalb in Richtung einer Verwaltung der gesamten Gerätekonfiguration. Dies umfasst auch die Hard- und Software-Inventarisierung und die Lizenzverwaltung.
Die Umwandlung der IT-Assets in eine selbstverwaltende, Patch-kompatible Infrastruktur kann sich enorm auszahlen. Es fängt mit der Verhinderung von Datenverlusten und Produktivitätseinbußen an und entwickelt sich zu einem Kostendämpfer für den Lizenzeinkauf oder den Ausbau der Hardware. Durch das Einbeziehen des unternehmensweiten Konfigurationsmanagement in die Kostenkalkulation von proaktiven Patch-Management-Lösungen fällt der Return On Investment (ROI) günstig aus.
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2002872)
