Patch Management Whitepaper

Whitepaper von GFI Software
Patch-Management:
Schwachstellen rechtzeitig
beheben
Verwaltung und Bereitstellung von Software-Updates – beides
Aufgaben, die Ressourcen besonders beanspruchen – zählen
auch weiterhin zu den größten Herausforderungen, denen sich ITAbteilungen tagtäglich stellen müssen. Dieses Whitepaper befasst
sich mit der wichtigen Funktion des Patch-Managements, das
Organisationen dabei hilft, ihren PC-Bestand mit allen erforderlichen
Software-Updates in Sachen Sicherheit und Funktionalität immer
auf dem neuesten Stand zu halten – und dies möglichst reibungslos,
damit die Verfügbarkeit von Systemen sowie die Produktivität und
Datensicherheit nicht beeinträchtigt werden.
Contents
Einführung
3
Bedeutung des Patch-Managements
3
Die Herausforderung: Sicherheit ohne Einbußen bei der Verlässlichkeit 4
Lösungen zum effektiven Patch-Management
5
Zusammenfassung
5
Über GFI Software™
6
2 | Patch-Management: Schwachstellen rechtzeitig beheben
Einführung
Verwaltung und Bereitstellung von Software-Updates – beides Aufgaben, die Ressourcen besonders
beanspruchen – zählen auch weiterhin zu den größten Herausforderungen, denen sich IT-Abteilungen
tagtäglich stellen müssen.
Software-Updates sind aus vielerlei Gründen wichtig. So sorgen sie dafür, dass Produktfunktionen
optimiert werden, oder beheben Fehler und Sicherheitslücken. Dennoch können sie IT-Mitarbeitern auch
Schwierigkeiten bereiten, etwa bei der unternehmensweiten Installation und deren Kontrolle. Zudem ist es
möglich, dass mit einem Patch zwar ein Problem behoben wird, zugleich jedoch ein anderes neu entsteht.
Nicht zuletzt kann ein neues Update die Kompatibilität zu anderer installierter Software oder die Stabilität von
Systemen gefährden. All diese Aspekte müssen bei der Installation von Patches überprüft werden. Außerdem
sind Updates so schnell wie möglich einzuspielen, damit vorhandene Schwachstellen nicht ausgenutzt
werden können. Software und Software-Umgebungen unterliegen einem steten Wandel. Daher kommen
IT-Entscheider, ob in KMU oder Großunternehmen, nicht umhin, das wichtige Thema Patch-Management ins
Auge zu fassen.
Bei der Verwendung von Software, die nicht mit den neuesten Sicherheits- und Versions-Updates auf
einem aktuellen Stand gehalten wird, besteht die Gefahr, dass die Sicherheitsstrategie eines Unternehmens
unterhöhlt wird. Server und Workstations sind nicht mehr hinreichend vor Hacker-Angriffen und Malware
geschützt. Auch das Risiko von Datenverlust und Systemausfällen aufgrund von fehlenden StabilitätsUpdates wächst. Zwischen 2009 und 2010 ist die Anzahl der Schwachstellen in gängiger PC-Software um 71
Prozent gewachsen. Dieser immense Anstieg ist zum größten Teil durch Applikationen bedingt, die nicht von
Microsoft stammen, und steht vielfach in keinem direkten Zusammenhang mit dem Windows-Betriebssystem.
Durchdachtes Patch-Management trägt dazu bei, die Zuverlässigkeit von Systemen und die Effizienz in der
IT zu optimieren. Zahlreiche rein administrative Arbeitsschritte bei der Bereitstellung von Updates werden
automatisiert. Dabei entstehende Ausfallzeiten und der Aufwand für nachfolgende Kontrollen oder eine
möglicherweise erforderliche Deinstallation von Patches hingegen sinken auf ein Minimum.
Bedeutung des Patch-Managements
Applikationen und Betriebssysteme von PCs oder Servern mit allen erforderlichen Patches kontinuierlich zu
aktualisieren, ist mittlerweile nicht mehr schwierig. Zum Teil ist dies einigen großen Software-Herstellern zu
verdanken, deren Produkte automatisch nach Updates suchen. Ebenso ist der Windows-Update-Service von
Microsoft inzwischen so ausgereift, dass Patches automatisch abgerufen und in vielen Fällen auch selbsttätig
im Hintergrund installiert werden können, ohne einen abschließenden Neustart des Systems Und dennoch:
Liegt es allein in der Verantwortung von Benutzern, Patches einzuspielen, bleibt das Risiko bestehen, dass die
Installation schlichtweg vergessen wird – mit den entsprechenden Konsequenzen.
152
Schwachstellen
122
Google
Chrome
Apple
Safari
103
Mozilla
Firefox
94
Apple
Webkit
3 | Patch-Management: Schwachstellen rechtzeitig beheben
77
Mozilla
Seamonkey
60
60
59
59
57
Adobe
Reader
Mozilla
Thunderbird
Adobe
Flash Player
Microsoft
Internet Explorer
Adobe
Acrobat
GFI LanGuard jetzt testen
KOSTENLOSE 30-Tage-Testversion
Bei Software-Updates des Marktführers Microsoft ist diese Gefahr möglicherweise geringer, da die mediale
Aufmerksamkeit groß ist, wenn neue Aktualisierungen für bekannte Applikationen und Betriebssysteme
angekündigt und veröffentlicht werden. Es ist vielmehr Software anderer Hersteller, in der sich die meisten
bekannten Schwachstellen befinden. Die Anzahl der Sicherheitslücken im eigentlichen Betriebssystem ist
im Vergleich dazu minimal. Darüber hinaus werden Sicherheit und Zuverlässigkeit von PCs durch weitere
Faktoren auf die Probe gestellt: Browser-Plug-ins, ergänzende Media-Player-Codecs und andere Erweiterungen
von Fremdanbietern, mit denen die Funktionalität von bestehenden Applikationen oder Systemdiensten
optimiert wird.
Wie bedeutend die Gefahr ist, die von Drittanwendungen ausgeht, verdeutlicht am besten ein Blick auf die
Applikationen mit den meisten bekannten Sicherheitslücken. Laut der US-Schwachstellendatenbank National
Vulnerability Database befanden sich in der folgenden Rangliste der Applikationen, die nach der Gesamtzahl
ihrer bekannten Schwachstellen angeordnet sind, im Jahr 2010 ganze neun Produkte, die nicht von Microsoft
stammten: Der Microsoft Internet Explorer ist die einzige in den Top 10 vertretene Microsoft-Lösung und
zudem die am höchsten gelistete Applikation, die von einem Betriebssystem installiert wird. Sie teilt sich den
sechsten Platz mit dem Adobe Reader. Microsoft Office als separates Software-Produkt nimmt den 11. Platz
ein. Das Java Runtime Environment von Oracle, ein beliebtes Angriffsziel insbesondere dann, wenn mit der
Veröffentlichung eines Patches eine neue Schwachstellen bekannt wird, liegt auf Platz 12.
Webbrowser, so zeigt sich, stehen bei softwarebedingten Schwachstellen weiterhin an der Spitze.
Allein aufgrund der hohen weltweiten Verbreitung belegen im Bereich der Betriebssysteme die verschiedenen
Versionen von Microsoft Windows die vorderen Plätze, dicht gefolgt von Linux sowie den Server- und
Desktop-Versionen von Mac OS X. Interessant ist, dass im Jahr 2010 für die Desktop-Versionen von Mac OS
X 96 Schwachstellen bekannt waren, während bei Windows Vista nur 88 und bei Windows 7 lediglich 66
Sicherheitslücken gezählt wurden.
Erfolgen Software-Updates und die Bereitstellung kritischer Patches nicht automatisiert, steigt der
Wartungsaufwand schnell an und führt letztlich zur Überforderung von IT-Mitarbeitern. Je nach Hersteller
werden unterschiedlich viele Software-Updates und Patches zu kritischen Schwachstellen veröffentlicht. Der
monatliche "Patch Tuesday" von Microsoft stellt jedoch häufiger Rekorde auf.
So wurden allein im April 2011 mit 17 Updates 64 kritische Sicherheitslücken geschlossen. Im Monat zuvor
waren es hingegen nur drei Updates für vier bekannte Probleme. Weitere Beispiele: Im Februar 2011 hat
Adobe 42 bekannte Bugs und Schwachstellen in seinen Produkten Adobe Reader und Flash per Patch
beseitigt. Im April desselben Jahres schloss Oracle 73 bekannte Schwachstellen in seinem gesamten
Produktportfolio. Gerade der Fall Oracle zeigt, dass das Patch-Management überaus komplex sein kann, wenn
auf automatisierte Abläufe verzichtet wird. Denn beim obigen Beispiel wurden nicht nur Patches für historisch
gewachsene Eigenlösungen bereitgestellt. Auch Produkte von übernommenen Unternehmen, deren
Software damals noch nicht eingegliedert war, erhielten Updates, wie Lösungen von JD Edwards, PeopleSoft
und Siebel oder auch OpenOffice.
Diese Beispiele sind nur einige von vielen, da nahezu alle Software-Hersteller Patches veröffentlichen. Sie
belegen auch, dass im Grunde nicht vorhersehbar ist, wie viele Patches auch künftig zu erwarten sind, wie
schwerwiegend die damit behobenen Schwachstellen sein werden und vor allem welche Ressourcen für ihre
Installation bereitgehalten werden müssen.
Die Herausforderung: Sicherheit ohne Einbußen bei der Verlässlichkeit
Software-Hersteller haben bereits verschiedene Maßnahmen ergriffen, um neu erkannte Sicherheitslücken
in ihren Produkten möglichst schnell zu schließen und die Bereitstellung von Patches zu vereinfachen. Dazu
gehören unter anderem automatische Update-Downloads oder auch Pop-up-Fenster, die Endbenutzer
auf Aktualisierungen hinweisen. Viele Anbieter stellen zudem erläuternde Hinweise bereit, die Anwendern
verständlich machen sollen, warum ein Update dringend erforderlich ist.
4 | Patch-Management: Schwachstellen rechtzeitig beheben
GFI LanGuard jetzt testen
KOSTENLOSE 30-Tage-Testversion
Ein Manko dieser Dienste: Sie setzen darauf, dass Anwender den Update-Download samt nachfolgender
Installation bestätigen und zulassen. Und obwohl es inzwischen einfach ist, den eigenen Rechner ohne
spezielles Know-how zu aktualisieren (und der Aufforderung dazu vielfach nachgekommen wird), ist zu
bedenken, dass IT-Abteilungen nicht den Überblick verlieren dürfen, welche Patches tatsächlich bereits
installiert wurden, um bei Problemen schnell eingreifen zu können.
Selbst ein ordnungsgemäß mit Patches geschützter Rechner kann sowohl Anwendern als auch IT-Experten
immer noch Schwierigkeiten bereiten. Beispielsweise wurde im Februar 2010 der Patch MS10-015 für
Microsoft Windows XP veröffentlicht. Er sollte eine seit mehreren Jahren bestehende Sicherheitslücke im
Betriebssystem endlich schließen. Stattdessen ließ er jedoch einige XP-Installationen abstürzen. Betroffene
Rechner zeigten nur noch den "Blue Screen of Death" und konnten nicht mehr hochgefahren werden.
Infolgedessen wurde der Patch zur genaueren Analyse und Behebung des Problems vorübergehend
von Microsoft zurückgezogen. Bei einem bereits installierten Update blieb nur noch dessen aufwendige
Deinstallation übrig, um wieder ein funktionsfähiges Betriebssystem zu erhalten.
Eine entsprechende Rollback-Funktionalität trägt wesentlich dazu bei, durch Patches hervorgerufene
Software-Fehlfunktionen schnell beseitigen zu können. Unter anderem folgende Gründe sprechen
gegebenenfalls dafür, bereits eingespielte Software-Updates zu entfernen:
»»
S tabilitätsprobleme: Wie erwähnt, kann die Vielzahl an unterschiedlichen Kombinationen aus Hardwareund Software-Komponenten dazu führen, dass selbst zuvor sorgfältig getestete Patches auf einzelnen
Geräten Fehlfunktionen verursachen.
»»
Kompatibilitätsprobleme: Patch-bedingte Änderungen von Dateiformaten, Datenbankstrukturen,
Dateisystemen und Kommunikationsprotokollen, die nicht für die gesamte IT-Umgebung erfolgt sind
oder nicht von Kunden oder Geschäftspartnern unterstützt werden, unterbrechen Arbeitsabläufe.
»»
Treiberprobleme: Beeinträchtigt ein Patch die Interaktion zwischen Hardware und Software nachhaltig,
muss er unter Umständen entfernt und so lange deinstalliert bleiben, bis Hardware-Treiber entsprechend
aktualisiert worden sind.
Ungeachtet dessen, dass verschiedene Lösungen zum Patch-Management erhältlich sind, wie Microsofts
eigene Windows Server Update Services (WSUS), ist ihr Einsatzbereich meist sehr begrenzt, ebenso wie die
Möglichkeit, Abläufe zu automatisieren. So lassen sich mit den WSUS lediglich Updates für Applikationen
und Betriebssysteme von Microsoft verwalten, die über Windows Update bereitgestellt werden. Lösungen
anderer Anbieter bleiben außen vor. Installierte Patches lassen sich ferner nur dann deinstallieren, wenn vor
dem Einspielen vom Betriebssystem ein Wiederherstellungspunkt erstellt worden ist. Bei dessen Auswahl
werden alle danach installierten Anwendungen, die problemlos funktionieren, jedoch gemeinsam mit dem
unerwünschten Patch entfernt.
Lösungen zum effektiven Patch-Management
Integrierte Abläufe zur Bereitstellung von Patches und anderen Software-Updates machen nur einen Teil des
Patch-Managements aus. Jede Organisation sollte insbesondere Wert auf eine Komplettlösung legen, mit der
die Implementierung von Patches vollständig automatisiert wird und die eine schnelle, einfache Kontrolle von
auf Unternehmensrechnern installierten Patches erlaubt.
Wie GFI LanGuard® zum Beispiel, der alle erforderlichen Patch-Management-Tools in einem Produkt vereint.
Mit seiner Hilfe können IT-Verantwortliche den gesamten IT-Bestand zentral überwachen und umgehend
erkennen, welche Updates auf Servern oder Workstations installiert sind. Fehlende Patches können
automatisch gesucht, abgerufen und installiert werden, um Sicherheitslücken rechtzeitig zu schließen – eine
bedeutende Entlastung für IT-Mitarbeiter.
Administratoren profitieren zudem von einem effizienten Patch-Rollback für problematische Updates von
Microsoft-Betriebssystemen und -Applikationen sowie von Drittanbieter-Programmen – ohne dabei auf
Wiederherstellungspunkte von Windows angewiesen zu sein.
5 | Patch-Management: Schwachstellen rechtzeitig beheben
GFI LanGuard jetzt testen
KOSTENLOSE 30-Tage-Testversion
Zusammenfassung
Die Verwaltung von Patches hat durch die wachsende Anzahl an Updates für Betriebssysteme und
Applikationen an Komplexität gewonnen. Automatisierte Update-Services von Herstellern sorgen zwar dafür,
dass die meisten Patches ihren Weg auf Server und Workstations finden. Da Möglichkeiten zum vorherigen
Testen jedoch fehlen, lassen sich potenzielle Probleme hinsichtlich der Stabilität und Kompatibilität zu
verschiedener Hardware nicht vorab erkennen.
Professionellem Patch-Management ist es maßgeblich zu verdanken, dass Unternehmen ihren PC-Bestand
mit allen erforderlichen Sicherheits-Patches und Software-Updates immer auf dem neuesten Stand halten
können – reibungslos und automatisch, ohne die Zuverlässigkeit von Systemen oder die Produktivität und
Datensicherheit zu gefährden.
Eine zuverlässige Patch-Management-Lösung mit schnellem Patch-Rollback und einem zentralen, präzisen
Überblick über alle Patches, die auf Unternehmensrechnern installiert sind, ist für Strategien zum SoftwareManagement und IT-Schutz geradezu elementar. Als Teil einer umfassenderen IT-Sicherheitsrichtlinie sorgt
eine solche Lösung dafür, dass Applikationen und Betriebssysteme keiner unnötigen Gefahr ausgesetzt
werden. Und nicht zuletzt stellt sie sicher, dass Endbenutzer wichtige Updates auch als relevant erkennen,
umgehend abrufen und schnellstmöglich installieren können.
Über GFI Software
GFI Software™ entwickelt qualitativ hochwertige IT-Lösungen für kleine und mittlere Unternehmen mit bis
zu 1.000 Anwendern. GFI®-Technologie wird vorrangig auf zwei Wegen bereitgestellt: GFI MAX™ bietet eine
umfassende Plattform, die es MSPs (Managed Services Provider) erlaubt, Kunden mit erstklassigen IT-Services
von GFI betreuen zu können. Die GFI Cloud™ hingegen ermöglicht es internen IT-Teams von Unternehmen,
ihr Netzwerk eigenständig über die Cloud zu verwalten und zu warten. GFI unterstützt seinen wachsenden
Kundenstamm von bereits über 200.000 Unternehmen zudem mit einem breiten Portfolio aus Software
für Zusammenarbeit, Netzwerksicherheit, Spam-Abwehr, Patch-Management, Faxkommunikation, E-MailArchivierung und Web-Überwachung. Lösungen von GFI werden durch weltweit mehrere tausend ChannelPartner vertrieben. Das Unternehmen ist für seine Produkte mehrfach mit renommierten Auszeichnungen der
IT-Branche geehrt worden. GFI ist seit langem Microsoft® Gold ISV Partner.
Weitere Informationen zu GFI stehen zum Abruf bereit auf http://www.gfisoftware.de.
GFI LanGuard jetzt in Ihrem Unternehmen testen!
GFI LanGuard: Ihr virtueller Sicherheitsberater, rund um die Uhr
KOSTENLOSE 30-Tage-Testversion
6 | Patch-Management: Schwachstellen rechtzeitig beheben
15300 Weston Parkway, Suite 104, Cary, NC 27513, USA
Telefon: +1 (888) 243-4329
Fax: +1 (919) 379-3402
[email protected]
33 North Garden Ave, Suite 1200, Clearwater, FL 33755, USA
Telefon: +1 (888) 243-4329
Fax: +1 (919) 379-3402
[email protected]
VEREINIGTES KÖNIGREICH UND IRLAND
Magna House, 18-32 London Road, Staines, Middlesex, TW18 4BP, GB
Telefon: +44 (0) 870 770 5370
Fax: +44 (0) 870 770 5377
[email protected]
EUROPA, NAHER OSTEN UND AFRIKA
GFI House, San Andrea Street, San Gwann, SGN 1612, Malta
Telefon: +356 2205 2000
Fax: +356 2138 2419
[email protected]
AUSTRALIEN UND NEUSEELAND
83 King William Road, Unley 5061, Südaustralien
Telefon: +61 8 8273 3000
Fax: +61 8 8273 3099
[email protected]
Kontaktdaten aller GFI-Niederlassungen weltweit finden Sie hier: http://www.gfisoftware.de/contactus
Rechtlicher Hinweis
© 2013. GFI Software. Alle Rechte vorbehalten. Alle aufgeführten Produkt- und Firmennamen können Marken der jeweiligen Inhaber sein.
Die in diesem Dokument bereitgestellten Informationen und Inhalte dienen lediglich der Information und werden „wie besehen“ ohne ausdrückliche oder stillschweigende
Gewährleistung bereitgestellt, einschließlich, aber nicht beschränkt auf stillschweigende Gewährleistung für Marktgängigkeit, Eignung für einen bestimmten Zweck und Nichtverletzung
von Rechten. GFI Software ist nicht haftbar für Schäden, darunter auch Folgeschäden, die aus der Verwendung dieses Dokuments entstehen. In diesem Dokument enthaltene
Informationen stammen aus öffentlich zugänglichen Quellen. Die bereitgestellten Informationen wurden sorgfältig überprüft, dennoch erhebt GFI keinen Anspruch auf ihre
Vollständigkeit, Genauigkeit, Aktualität oder Angemessenheit und kann diese Eigenschaften nicht versprechen oder zusichern; außerdem ist GFI nicht verantwortlich für Druckfehler,
veraltete Informationen oder ähnliche Fehler. GFI übernimmt keine ausdrückliche oder stillschweigende Gewährleistung sowie Haftung oder Verantwortung für die Genauigkeit oder
Vollständigkeit von in diesem Dokument enthaltenen Informationen.
Sollten Sie der Ansicht sein, dass dieses Dokument sachliche Fehler enthält, setzen Sie sich bitte mit uns in Verbindung. Ihr Einwand wird sobald wie möglich überprüft.
GFI 3261 may13
USA, KANADA, MITTEL- UND SÜDAMERIKA