Security-Saas: Software-Updating as a Service

Klaus Jetter. Quelle: F-Secure.

silicon.de: Security-Lücken und mangelndes Updating von Unternehmensnetzen ist derzeit ein oft diskutiertes Thema. Ist die Sache mit dem Malwareschutz wirklich so kompliziert?

Jetter: Schutz gegen Viren und Malware ist natürlich zentral. Aber ein weiteres, grundlegendes Problem ist nicht die Malware selbst, sondern nicht geschlossene Sicherheitslücken, die von Hackern ausgenutzt werden. Hacker reagieren schnell, wenn solche Schwachstellen bekannt werden. Eine solche Verwundbarkeit kann zudem noch lange wirken, weil viele Anwender ihre Systeme nicht oder nur unregelmäßig updaten. Wir bei F-Secure gehen davon aus, dass etwa 83 Prozent der zehn am häufigsten entdeckten Malware-Typen durch upgedatete Software schon im Vorfeld hätten verhindert werden können.

silicon.de: Können Sie das konkretisieren?

Jetter: Ja, durchaus. Viele Unternehmen kommen ihrer Update-Pflicht nicht nach. Die größten Update-Lücken bestehen ausgerechnet bei so wichtigen und für ihr Risiko bekannten Anwendungen wie Java, Adobe Flash Player und Firefox, aber auch bei Microsoft-Technologien oder Open Office. Nur bei 13 Prozent der PC-Systeme in Unternehmen sind alle sicherheitskritischen Updates wirklich installiert. Dies sind die Ergebnisse unserer F-Secure Auswertung der Daten von rund 200.000 überwiegend in Europa installierten Arbeitsplätzen.

Der Studie zufolge fehlen bei 49 Prozent der Firmen-PCs und Laptops ein bis vier kritische Updates. Bei 25 Prozent sind fünf bis neun Updates und bei 13 Prozent sogar zehn oder mehr Updates nicht installiert. 54 Prozent der Rechner haben Lücken bei Java-Updates. 36 Prozent der Systeme hatten keinen vollständig aktuellen Adobe Flash Player. Bei 23 Prozent bestand eine Verwundbarkeit in Windows Common Controls, was die Remote Ausführung von Schadcodes erlaubt hätte.

silicon.de: Aber Software-Updating ist doch eigentlich ganz einfach…

Jetter: Leider nein. Bei Microsoft ist die Situation relativ übersichtlich. Aber ganz anderes sieht es bei 3rd-Party-Anwendungen aus, die Updates unregelmäßiger ausliefern. Ein händisches Aktualisieren von Software ist für große Unternehmensnetzwerke schon sehr aufwändig, kleiner Unternehmen sind da fasst zum Scheitern verurteilt. Das rechtzeitige vollständige Ausrollen aktueller Softwareupdates im ganzen Unternehmen lässt sich nur durchführen, wenn dieser Prozess zentral geregelt und überwacht wird. Für viele Unternehmen ist es da oft am besten, wenn dieser Prozess als Software-as-a-Service ausgelagert wird.

silicon.de: Wo genau hakt es in der Praxis?

Jetter: Viele, aber auch nicht alle Hersteller bieten zwar in der Tat mit einem geregelten Update-Zyklus wertvolle Hilfestellungen, dennoch gibt es auch hier immer wieder Probleme. Nicht selten müssen zudem gerade sicherheitskritische Updates außerplanmäßig eingespielt werden. Das Hauptproblem ist allein schon die Masse an Updates und die Tatsache, dass jeder Softwareanbieter seine eigenen Update-Zyklen fährt.

Solche Aufgaben müssen dann aber auch entsprechend geplant werden, damit sie nicht mit anderen Wartungsprozessen kollidieren und somit die Performance beeinträchtigen. Oft sind auch gerade sicherheitskritische Updates nicht selbsterklärend. Wer hat aber bei allein 70 Microsoft-Sicherheitsupdates im Jahr schon Zeit für ein Webinar oder für die Klärung von Detailproblemen oder Netzverbindungsproblemen?

silicon.de: Sie raten deshalb zu einem SaaS-basiertem Update-Service. Ein Problem dürfte hier die hohe Belastung für die Performance sein…

Jetter: Ein SaaS-Update-Dienst stellt das Aktualisieren von Betriebssystemen und Applikationen in einem Unternehmen jederzeit sicher. Proaktiv erfolgt der Scan der Kundenrechner auf eventuell schon installierte sicherheitsrelevante oder andere Updates sowie auf installierte Service Packs. Ein Scan Updater unterscheidet nach erfolgter Einrichtung in Folge zwischen sicherheitskritischen, wichtigen und weniger wichtigen Updates. Die Verwaltung der Updates und der gewünschten Einstellungen erfolgt beim Sicherheitsdienstleister zentral auf einem Bildschirm. Je nach Bedarf können Gruppen von Rechnern oder auch einzelne Geräte upgedatet werden.

Um die Performance des Unternehmensnetzwerks nicht mit unnötigen Updates zu belasten, bleibt dieses automatische Aktualisieren nur sicherheitsrelevanten Patches vorbehalten. Auch lässt sich der Zeitintervall eines Scans und der automatischen Einspielung der neuen Version festlegen.

Spezielle Probleme werden im Rahmen einer Problemlösungshilfe angezeigt. Update-Lösungen geben so etwa an, ob eine fehlerhafte Verbindung mit dem Netz, einem Proxie oder der Hersteller-Website die Ursache war und verweist auf Client-Protokolle, falls eine Installation nicht gelang.

silicon.de: Vielen Dank für das Gespräch!

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

3 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

4 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

4 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

4 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

5 Tagen ago