Autor: Thorsten Kuhles
Das Patchen von Betriebssystemen und Software auf privaten und firmeneigenen Rechnern und Servern trägt maßgeblich zur IT-Sicherheit bei, ohne Wenn und Aber. Mit diesem Beitrag möchten wir vor Augen führen, warum regelmäßige Updates heute ein fester Bestandteil der IT sein müssen.
Die Denkweise „Never touch a running system“ ist ein Auslaufmodell, wenn es um die Sicherheit der IT-Systeme geht. In immer kürzer werdenden Abständen werden Sicherheitslücken nicht nur aufgedeckt – sie werden auch immer automatisierter ausgenutzt. Schadprogramme scannen ihre Umgebung und nutzen bestehende Lücken oftmals ohne manuelles Zutun eines „Hackers“ aus. Die kritischen Sicherheitslücken können nur durch geplantes, und vor allem automatisiertes „Patchen“ im Rahmen eines Patch Managements zeitnah geschlossen werden.
Patchen – koordiniert und organisiert
Zu den häufigsten Bereichen, die Patches benötigen, gehören Betriebssysteme, Anwendungen und eingebettete Systeme (wie Netzwerkgeräte). Aufgrund der Vielfalt und Komplexität der unterschiedlichen Bereiche und Anwendungen ist die geplante und automatisiert ablaufende System-Aktualisierung fast unumgänglich. Denn die unterschiedlichen Hersteller bringen ihre Sicherheitsupdates natürlich nicht in koordinierter Weise heraus. Sie haben alle ihre eigenen „Patch-Days“. Hier den Überblick zu behalten, wäre für die manuelle Systempflege eine mehr als tagesfüllende Aufgabe. Natürlich wird es immer Systeme oder Systembereiche geben, die diesem automatisierten Prozess nicht unterzogen werden können, da die technische Machbarkeit nicht gegeben ist. Doch das findet man durch die Planung im Patch Management heraus und kann entsprechend agieren. Durch die Einführung des Patch Managements kommt es, neben der Behebung von Schwachstellen durch den Patch, zur Verbesserung der Verfügbarkeit von Systemen, einer Funktionsverbesserung in Betriebssystemen und sonstiger Software, aber auch zur Einhaltung von Compliance-Vorgaben, die den Unternehmen beispielsweise durch Behörden auferlegt werden.
Patch Management vs. Schwachstellenmanagement
Das Patch Management ist ein wesentlicher Bestandteil jeder Schwachstellenmanagement-Lösung. Die Begriffe „Patch Management“ und „Schwachstellenmanagement“ werden manchmal synonym verwendet, es ist jedoch wichtig, den Unterschied zu kennen. Schwachstellenmanagement ist der Prozess, mit dessen Hilfe Sicherheitslücken in Systemen und in der auf diesen Systemen laufenden Software erkannt, bewertet, behandelt und gemeldet werden. Das Patch Management ist dagegen der Prozess zur Aktualität und Verwaltung der verwendeten Betriebssystem- und Softwareversionen. Obwohl beide Strategien darauf abzielen, Risiken zu mindern, hat das Patch Management also seine Grenzen und ist eher als „unterstützendes“ Element zu sehen. Dadurch ergeben sich dafür drei Handlungsstränge, die ggf. für den Einzelfall bewertet und dokumentiert werden müssen:
- Bei technischer Machbarkeit wird der Patch für eine erkannte Schwachstelle installiert, um das Problem zu beheben.
- Bei technischen und/oder zulassungstechnischen Problemen sind kompensierende Maßnahmen notwendig, die durch einen „Workaround“ umgesetzt werden. Ein derartiges Vorgehen ist üblich, wenn noch kein angemessener Patch verfügbar ist, um Zeit bis zur endgültigen Problembeseitigung zu gewinnen.
- Akzeptieren Sie das Risiko/Restrisiko dieser Schwachstelle und dokumentieren diese Entscheidung in den einschlägigen Sicherheitskonzepten, um sie bei Prüfungen oder Vorfällen nachvollziehen zu können und so erste Anhaltspunkte für tiefgreifende Untersuchungen zu erlangen.
Angriffe früher erkennen
Die Geschwindigkeit, mit der potenzielle Angreifer Sicherheitslücken in gängigen Software-Lösungen entdecken und für ihre Zwecke nutzen wollen, nimmt stetig zu. Das bedeutet aber auch, dass das Ausrollen der Patches in einem Unternehmen immer rascher und reibungsloser funktionieren muss. Durchschnittlich brauchen Unternehmen heute etwa 100 bis 120 Tage, um neue Patches auszurollen. Umgekehrt sind die Angreifer etwa fünfmal so schnell! Im Schnitt brauchen diese nur etwa 22 Tage, um neue Sicherheitslücken zu entdecken und damit zur Bedrohung für Unternehmen werden. Somit schließt sich der Kreis zu unserem bereits veröffentlichten Artikel zur Früherkennung in Unternehmen durch z.B. einem Security Operation Center (SOC). Auch hier ist also die Schnittstelle vom Monitoring durch das SOC zum IT-Betrieb deutlich zu erkennen.
Fazit
Die Geschwindigkeit im Wettlauf zwischen Herstellern von Software, Firmware, Betriebssystemen auf der einen Seite und den Cyberkriminellen auf der anderen Seite nimmt stetig zu. Die Entwicklung von schwachstellenfreier Software lässt auf sich warten, und verschafft Angreifern leider die Gelegenheit, einen Schritt schneller zu sein als die Anwender:innen auf der hellen Seite der Macht. Daher ist es umso wichtiger, die zur Verfügung stehenden Mittel – zum Beispiel in Form eines bereitgestellten Patches – auch zu nutzen. Systeme müssen gepflegt werden, um Standards zu erfüllen und um benötigte Funktionen für die Nutzenden anzubieten. Die aufgezeigten Probleme können nur gemeinsam durch Hersteller, Unternehmen und Anwender:innen bewältigt werden. Auch hier gilt: „The first line of defence is YOU“.