Patch-Management: das Aschenputtel der IT-Sicherheit?
Laut BSI ist fehlerhaftes respektive nicht vorhandenes Patch-Management eine der Hauptursachen für erfolgreiche Hackerangriffe auf Firmen. Diesen will der Software-Hersteller DeskCenter daher eine zentralisierte Patch-Management-Lösung samt Inventarisierung und Software-Erkennungskatalog an die Hand geben.
Das Bundesamt für Sicherheit in der Informationstechnik(BSI) sieht in seinem Leitfaden zum IT-Grundschutz fehlerhaftes beziehungsweise nicht vorhandenes Patch-Management als eine der Hauptursachen für Sicherheitslücken in Unternehmen, die leicht für Hackerangriffe ausgenutzt werden können.
Der Leipziger Software-Hersteller DeskCenter kann dem nur beipflichten. “Es ist richtig, dem Patch-Management als eine Ursache für erfolgreiche Cyber-Angriffe ein ganz hohes Gewicht beizumessen. Patches werden zwar ausgegeben, es wird allerdings oftmals nicht nachverfolgt, ob sie auch tatsächlich angekommen und installiert wurden. Das ist vor allem bei hochgradig verteilten Organisationen zu beobachten, die womöglich auch noch ein verteiltes IT-Management haben. Woher sollen Verantwortliche wissen, dass auch wirklich alle Rechner den Patch erhalten haben?”, so Christoph A. Harvey, CEO von DeskCenter.
Er empfiehlt daher, das Patch-Management in Unternehmen grundsätzlich zu zentralisieren. “Patch-Management ist eine ’24/7-Tätigkeit’. Es ist täglich erforderlich, Software-Stände zu aktualisieren und bei verteilten Firmen global den gleichen Versionsstand zu haben”, führt Harvey weiter aus.
Wie sich das erreichen lässt, macht Harvey anhand des Software-Erkennungskatalogs respektive des sogenannten DNA-Katalogs deutlich, der in dessen modular aufgebauter Lösung DeskCenter Management Suite (PDF) integriert ist.
Eine ebenfalls in die Suite integrierte Inventarisierungsfunktion gleicht die Parameter der in einem Unternehmen vorhandenen und auf den Firmenrechnern gefundenen Software mit dem DNA-Katalog ab, der nach Angaben von DeskCenter derzeit rund 10.000 Software-Hersteller sowie 1 Millionen Versionierungen einschließlich aller Updates und Upgrades enthält und täglich gepflegt wird.
Das dient letztendlich der Erkennung respektive Inventarisierung der Software in einer Firma, da alle Softwareprodukte automatisch erfasst werden und IT-Verantwortliche einen Gesamtüberblick über die installierten Produkte einschließlich ihrer Lizenzierung erhalten. Damit lassen sich dann auch Über- oder Unterlizenzierungen aufdecken.
Dazu liefert der Katalog neben Hersteller und Version einer Software auch den jeweiligen Lizenztyp. Zu den weiteren erfassten Parametern gehören Produktfamilie- und name einschließlich der Edition sowie die Sprache, die Chronologische Version, der Patch-Level und der Release-Master.
Laut DeskCenter kann der DNA-Katalog nicht nur automatisch Freeware respektive Open-Source-Software von lizenzpflichtigen Programmen unterscheiden, sondern ist ebenso in der Lage, zwischen Einzelapplikationen und Suiten, also Programmpaketen, zu differenzieren.
Aufgrund eines integrierten, cloudbasierenden Update-Dienstes soll die Produkterkennung zudem jederzeit auf dem neuesten Stand sein. Nutzer haben weiterhin die Möglichkeit, selbstgeschriebene Software ebenso in den Erkennungsprozess und damit den DNA-Katalog einfließen zu lassen wie spezialisierte Unternehmenssoftware und modifizierte Installationspakete.
Da sich die gefundenen Software-Ergebnisse etwa auch nach dem Attribut “Freeware” sortieren lassen, könnten IT-Administratoren DeskCenter zufolge erkennen, ob auf einem Firmenrechner ein gemäß den Unternehmensvorgaben unerwünschtes Programm installiert ist, das eine mutmaßliche Sicherheitslücke darstellt. Die DeskCenter Management Suite erlaube es dann, die entsprechende Freeware per “Knopfdruck” auf dem zugehörigen Rechner zu deinstallieren.
Um der Gefahr solcher unerlaubten Downloads aus dem Internet und den daraus resultierenden Installationen vorzubeugen, offeriert DeskCenter die sogenannte “AppCloud”, bei der es sich um eine Sammlung fertig konfigurierter Pakete für Software-Installationen handelt. Laut DeskCenter werden dabei “gängige Programme in einem privaten Bereich hinterlegt”, der durch den Anbieter “up-to-date” gehalten wird. IT-Manager können dann veranlassen, dass sich nur ausgewählte Software-Pakete auf den Firmen-Clients automatisch installieren respektive aktualisieren. Damit sollen auch veraltete Release-Stände, etwa von anfälligen Produkten wie Adobe Reader oder Java, vermieden werden.
Es ist dem Anbieter zufolge aber auch möglich, dass Mitarbeiter sich von dort selbstständig benötigte Programme herunterladen: “Was nicht heißt, dass sie das auch wirklich tun: In diesem Fall greift dann allerdings wieder die Überprüfung der installierten Software durch die Inventarisierungsfunktion”, erklärt Christoph A. Harvey.
Zu dem Ergebnis, dass Schwachstellen zu schließen, eine der wichtigsten Maßnahmen ist, um Attacken auf Unternehmen erfolgreich abzuwehren, kommt auch der finnische Sicherheitsanbieter F-Secure. Eine von ihm durchgeführte aktuelle Untersuchung ermittelte tausende Fälle von falsch konfigurierten Systemen und veralteter Software in Firmen.
Auch F-Secure hält es demnach für wichtig, verwundbare Applikationen und Betriebssysteme zu patchen. Patch-Management fehle aber immer noch in vielen Firmen. Das zu priorisieren müsse ganz oben auf der To-Do-Liste eines IT-Verantwortlichen stehen. Patch-Management-Lösungen könnten Unternehmen diese Aufgabe “relativ schnell und schmerzfrei” abnehmen und sich gleichzeitig um viele von Angreifern genutzte Schwachstellen kümmern.