Patch-Strategien für die Unternehmensinfrastruktur

Wie Patches auf den Computern eines Unternehmens ohne Ausfallzeiten installiert werden können.

Microsoft musste in letzter Zeit wiederholt Patches für Bugs veröffentlichen, die in vorherigen Behebungen der Schwachstellen auftauchten. Diese Tatsache hilft nicht gerade dabei, das (inzwischen recht tiefe) Misstrauen gegenüber den Updates zu zerstreuen. Zu den Einblicken, die wir über unsere vor Kurzem durchgeführte Umfrage „Geräte-Updates: Was hält Menschen davon ab, Aktualisierungen durchzuführen?“ erhalten haben, zählt, dass 51 % der Befragten – Unternehmen und Verbraucher – die Updates aufschieben, um abzuwarten, ob andere Personen oder Unternehmen Probleme mit der Aktualisierung haben.

Das ist natürlich einerseits verständlich – niemand möchte mit einem Update das Netzwerk beeinträchtigen, denn Ausfallzeiten in Unternehmen können teuer sein. Anderseits ist zu beachten, dass Angriffe oft schnell auf Patch-Updates folgen, weil Cyberkriminelle sich der Vorbehalte gegenüber Updates bewusst sind. Der sichere Weg liegt irgendwo dazwischen: Eine rechtzeitige Installation der Patches ist wichtig, gleichzeitig sollte aber auch deren Kompatibilität mit der entsprechenden Infrastruktur überprüft werden.

Windows-Updates sind nur ein Teil des Problems – auch andere Softwares brauchen Aktualisierungen und neue Patches. Denken Sie daran, dass nicht alle Software-Entwickler die Benutzer so regelmäßig auf Updates und Schwachstellenbehebungen aufmerksam machen, wie Microsoft. Das wirft folgende Fragen auf: Wie können Administratoren auf dem Laufenden über alle neu veröffentlichten Aktualisierungen bleiben und welche Update-Installationen sollten priorisieren werden?

Software in einer Test-Umgebung aktualisieren

In einer Unternehmensumgebung ist es leider nicht möglich den kompletten Aktualisierungsvorgang zu automatisieren. Da jedes Unternehmen eine einzigartige Kombination von Hardware und Software verwendet, besteht immer die Gefahr, dass die nächste Aktualisierung Fehler oder Inkompatibilitäten zur Folge hat. Nur ein Administrator, der gut mit dem Unternehmen vertraut ist, kann eine fundierte Entscheidung zu jedem einzelnen Patch treffen. Die Update-Installierungen in Testumgebungen ist eine sichere Lösung, mit der unnötige Risiken für die restlichen IT-Systeme des Unternehmens vermieden werden können.

Testumgebung

Bei großen Unternehmen, besonders wenn sie hoch spezialisierte Software verwenden, verfügt die IT-Sicherheitsabteilung in der Regel über ein Test-Subnetz mit Computern (oder zumindest einigen virtuellen Maschinen), um neue Updates zu prüfen, bevor sie im ganzen Unternehmen implementiert werden. Kleinere Unternehmen nutzen für die Update-Tests meistens nur einen Computer. Die Administratoren installieren die neuen Patches auf den Testmaschinen, die als Simulation einer typischen Arbeitsumgebung dienen und überwachen dann die Folgen.

Diese Methode ist weder kostengünstig noch vollkommen zuverlässig. Es ist recht schwer eine echte Person und deren Arbeitsaufgaben mit einer Testmaschine zu simulieren, besonders wenn virtuelle Maschinen dafür verwendet werden. Die Probleme können beispielsweise anstatt direkt nach der Installation erst bei einer bestimmten Funktion auftauchen.

Installation stufenweise durchführen

Manche IT-Abteilungen verwenden eine alternative Methode, die darin besteht die Updates stufenweise, in einem Bereich nach dem anderen, zu implementieren. Während des Vorgangs versichern sie sich, dass alles in Ordnung ist, bevor sie mit der Implementierung im nächsten Bereich beginnen.

Einen Teil der Infrastruktur ungeschützt zu lassen ist natürlich mit einem gewissen Risiko verbunden, aber der Nutzen des Patch-Testens in einer echten Umgebung ist möglicherweise größer als das Risiko.

Updates mit einem System für Patch-Management priorisieren

Mit einem Patch-Management-System ist das Finden von Patches und die Priorisierung derer Installationen wesentlich einfacher – die Administratoren werden auf wichtige Updates aufmerksam gemacht und erhalten Informationen über die Schwachstellen, die damit behoben werden.

Kaspersky Systems Management übernimmt diese Aufgabe und vereinfacht die Systemverwaltung, durch die Zentralisierung und Automatisierung von grundlegenden Sicherheits-, Konfigurations- und Verwaltungsabläufen, z. B. Vulnerability Assessment, Patch- und Update-Distribution, Bestandsverwaltung und Programm-Rollouts. Kaspersky Systems Management ist in Kaspersky Endpoint Security for Business integriert.

Tipps