Kleiner Stolperstein, grosser Fall: Candid Wüest von Symantec über Patches

Wieso ist ein gutes Patch-Management wichtig? Was kann denn schon schiefgehen, wenn mal ein Update vergessen geht?

Candid Wüest: Moderne Software wird immer komplexer und somit steigt das Risiko für Sicherheitslücken. Die Schutzmechanismen bei der Softwareentwicklung und beim Betriebssystem selbst werden zwar immer besser, trotzdem wurden für 2018 bereits mehr als 11'000 Schwachstellen gemeldet. Updates helfen dabei, die Angriffsfläche zu minimieren. Wird ein System nicht zeitnah gepatcht, kann ein Angreifer bekannte Schwachstellen ausnutzen, um den Computer zu kompromittieren. Welche Folgen es haben kann, wenn man nicht patcht, zeigte der Ransomware-Vorfall Wannacry im Mai 2017. Dieser nutzte eine Schwachstelle in SMB, die bereits zwei Monate zuvor von Microsoft gepatcht wurde. Trotzdem hatten sich hunderttausende Systeme infiziert, weil diese nicht gepatcht waren, und so zu immensen Schäden beigetragen. Hinzu kommen natürlich auch regulatorische Pflichten, die Patch Compliance erfordern.

Was gilt es beim Patch-Management besonders zu beachten?

Bei einem Patch-Management ist es wichtig, dass man ein sauberes Inventar aller Softwarepakete berücksichtigt und alle Geräte erfasst sind. Allerdings ist nicht jede Software gleich kritisch für das Unternehmen. Zudem zeigt die steigende Anzahl von Supply-Chain-Software-Update-Hijack-Attacken, dass das Patchen nicht immer ganz so einfach ist, wie es scheint. Gerade bei kritischen Umgebungen muss der Patch zuerst validiert und auf Verträglichkeit und Schadcode getestet werden, bevor dieser im gesamten Unternehmen ausgerollt wird. Diese Berücksichtigungen sollten in die Planung des Patch-Prozesses einfliessen.

Was sind die Vorteile einer Patch-Management-Lösung?

Bei der Vielzahl an heutzutage eingesetzter Software ist es schwierig, einen Überblick zu behalten, geschweige denn, die Updates effizient auszurollen. Hier kann eine zentrale, automatisierte Lösung helfen. Ein weiterer Vorteil ist, dass man durch eine Automation mit Reporting nicht den Überblick verliert, welche Computer noch kein Update erhalten haben. Dies ist gerade bei virtuellen Systemen wichtig, die nicht immer in Betrieb sind.

Wie kann man mit Patch-Management Geld verdienen?

Gerade bei Applikationen von Drittanbietern kann es sehr zeitaufwändig sein, Software-Updates im Auge zu behalten. Für grössere Unternehmen lässt sich durch eine zentrale Verwaltung ein Ressourcengewinn erzielen. Diese freien Ressourcen können dann bei anderen Projekten eingesetzt werden.

Wie müssen Channelpartner dafür aufgestellt sein?

Channelpartner sollten die Bedürfnisse ihrer Kunden gut kennen. Nicht jeder Sektor kann einfach alle Systeme patchen; zum Teil gibt es Regularien für validierte Systeme, die mehr Zeit beanspruchen. Kleinere Betriebe mit einer kleineren, weniger komplexen Infrastruktur sind häufig bereits mit den Bordmitteln gut versorgt.

Die Links zu den Antworten der anderen Podiumsteilnehmer (in alphabetischer Reihenfolge):

• Marc Burkhard, ITsense: "Manuelles Patch-Management ist fehleranfällig und zeitaufwändig."

• Matthias Jankowitz, Oracle: "Volle Automation ist der Schlüssel."

• Cornelia Lehle, G Data: "Es ist wichtig, auf ein Patch-Management zu setzen, dass sich nahtlos in die vorhandene Sicherheitslösung integrieren lässt."

• Ernesto Hartmann, Infoguard: "Falls Unternehmen wichtige Patches auf exponierten Systemen vergessen, sind sie ein leichtes Ziel für Angreifer."

• Jürg Meier, RedIT: "Schon eine einzige Sicherheitslücke reicht potenziellen Angreifern."