Kleiner Stolperstein, grosser Fall: Ernesto Hartmann von Infoguard über Patches

Wieso ist ein gutes Patch-Management wichtig? Was kann denn schon schiefgehen, wenn mal ein Update vergessen geht?

Ernesto Hartmann: Täglich finden unzählige, erfolgreiche Cyberattacken statt. Ein Grossteil davon ist durch Schwachstellen entstanden, die selbst Jahre nach deren Veröffentlichung – und der entsprechenden Patches – auf vielen Systemen immer noch einen alten Patch-Stand aufwiesen. Deshalb ist ein adäquates Patch-Management so wichtig, da nur so solche potenziellen Angriffsvektoren gezielt geschlossen werden können. Falls Unternehmen wichtige Patches auf exponierten Systemen vergessen, sind sie ein leichtes Ziel für Angreifer. Denn diese suchen immer das schwächste Glied in der Sicherheitskette. Systeme mit einem schlechten Patch-Stand zählen hier sicherlich dazu. Und leider ist dies keine Seltenheit, wie unsere Penetration-Tester und SOC-Analysten tagtäglich in der Praxis sehen.

Was gilt es beim Patch-Management besonders zu beachten?

Risikobasiertes Handeln ist essenziell, um die richtigen und vor allem wichtigen Prioritäten zu setzen. Für ein Unternehmen ist es gar nicht möglich, alle Systeme immer auf dem neuesten Stand zu halten und alle Patches zeitnah einzuspielen. Deshalb gilt es, beispielsweise exponierte Systeme am Perimeter, Internetbrowser oder Office-Programme umgehend zu patchen, wenn diese eine kritische Schwachstelle aufweisen. Diese könnten ansonsten leicht Ziel einer Cyberattacke werden. Beim Patch-Management ist es aber auch immens wichtig, dass überprüft wird, ob tatsächlich korrekt gepatcht wurde. Deshalb ist Vulnerability-Management genauso wichtig wie Patch-Management.

Was sind die Vorteile einer Patch-Management-Lösung?

Für Unternehmen ist es unerlässlich, dass die Sicherheit ihrer IT-Infrastruktur gewährleistet ist. Aber auch Zeit-, Kosten- und Personalaufwand müssen laufend optimiert werden. Deshalb führt beim Patch-Management kein Weg an der Automatisierung vorbei. Denn nur so lässt sich das Patch-Management überhaupt effizient und effektiv umsetzen. Es ist wichtig, solche (Routine-)Aufgaben so weit als möglich zu automatisieren – und die personellen Ressourcen dort einzusetzen, wo es am sinnvollsten ist, etwa bei der Erkennung, Analyse und der Reaktion auf Sicherheitsvorfälle. Für ein Unternehmen – zumindest ab einer gewissen Grösse – ist es gar nicht möglich, alle Systeme manuell zu patchen. Sonst besteht unter anderem die Gefahr, dass wichtige Patches nicht schnell genug installiert werden.

Wie kann man mit Patch-Management Geld verdienen?

Indem man den Kunden von gewissen Arbeiten entlastet. Beispielsweise bei der Erhebung und Priorisierung der Risiken, bei der Integration einer Patch-Management-Lösung, aber auch bei der Überprüfung
der Umsetzung mittels Vulnerability-Management-Services oder -Lösungen.

Wie müssen Channelpartner dafür aufgestellt sein?

Um das Patch-Management risikobasiert umsetzen zu können, sind zwei Dinge unerlässlich. Erstens muss der Channelpartner über gute Kenntnisse über die Risikolage verfügen und zweitens muss er ein vertieftes Security-Know-how haben.

Die Links zu den Antworten der anderen Podiumsteilnehmer (in alphabetischer Reihenfolge):

• Marc Burkhard, ITsense: "Manuelles Patch-Management ist fehleranfällig und zeitaufwändig."

• Matthias Jankowitz, Oracle: "Volle Automation ist der Schlüssel."

• Cornelia Lehle, G Data: "Es ist wichtig, auf ein Patch-Management zu setzen, dass sich nahtlos in die vorhandene Sicherheitslösung integrieren lässt."

• Jürg Meier, RedIT: "Schon eine einzige Sicherheitslücke reicht potenziellen Angreifern."

• Candid Wüest, Symantec: "Updates helfen dabei, die Angriffsfläche zu minimieren."