Regelmäßiges Patchen ist wichtig, um Ihre Systeme sicher zu halten. Aber ohne Patch-Management-Strategie geht es nicht. Selbst automatisches Patchen kann Ihnen Probleme einbrocken.

Patches ohne Patch Management sind wie der Regenschirm zuhause

So sehr es Nutzer nervt, wenn ihre IT ihnen Updates aufspielt: Die meisten sind dann zumindest beruhigt, weil sie denken, dass sie sich dann auf ihre Software verlassen können. Aber Patches sind kein Allheilmittel. Und ohne richtiges Patch Management helfen theoretisch verfügbare Updates so viel wie der Regenschirm zuhause, wenn Sie unterwegs vom Wolkenbruch überrascht werden.

Die Patches gegen WannaCry und NotPetya waren da – nur nicht installiert

Selbst, wenn Sie Ihre IT-Umgebung mit einer Reihe von Tools absichern, können Sie immer noch Gefahren ausgesetzt sein. Und viele Nutzer deaktivieren automatische Patches, genau wie IT-Abteilungen lieber kontrolliert Updates ausrollen. Oder auf Software-Versionen setzen, die gar nicht mehr gepatcht werden. Das führt zu Problemen. Die Malware-Attacken durch WannaCry und NotPetya etwa haben sich auch dank bekannter Schwachstellen so rasant ausgebreitet  – Schwachstellen, für die es Patches gab. Sie waren nur nicht installiert. Patch Management? Fehlanzeige.

Ein paar Dinge sollten Ihnen bewusst sein, wenn wir über Patches und Patch Management reden:

Software ist nie absolut sicher

Software ist immer angreifbar. Hunderttausende Zeilen von Code, alle von Menschen geschrieben. Klar gehen da Dinge schief. Niemand schreibt Software, die komplett fehlerfrei und immun gegen Angriffe ist.

Ihre Software ist wie Milch – irgendwann wird sie schlecht

Je älter ihre Software wird, desto mehr Schwachstellen kommen ans Licht. Es ist wie mit Milch: Je länger Milch im Regal steht, desto älter wird sie. Und irgendwann wird sie schlecht, ungenießbar. Bei Software ist es ähnlich: Je länger sie existiert, desto mehr Schwachstellen werden bekannt und desto mehr Schädlinge sammeln sich an. Ihr Patch Management muss im Blick behalten, welche Schwachstellen bekannt werden – und was sich fixen lässt.

Automatisches Patchen bringt nichts, wenn es keine Patches mehr gibt

Legacy Software, also Bestandsysteme, die von ihren Herstellern durch Neufassungen abgelöst wurden, werden nicht gepatcht. Unternehmen verwenden oft Software, die vom Hersteller nicht mehr unterstützt wird. Das ist keine eiserne Regel: Als WannaCry publik wurde, hat Microsoft zum Beispiel beschlossen, auch für alte Betriebssysteme Patches anzubieten. Sie dürfen sich darauf aber nicht verlassen!

Patches ohne Patch-Management-Strategie bringen auch nichts

Patch Management heißt auch, dass vorhandene Patches tatsächlich aufgespielt werden müssen. Bleiben wir beim Beispiel WannaCry: Für aktuelle Systeme standen schon vor dem Angriff Patches bereit. Für veraltete kamen sie danach. Und trotzdem hat NotPetya einen Monat später viele Unternehmen erwischt. Diesen Unternehmen fehlte vermutlich das richtige Patch Management: Sie haben nicht schnell genug erkannt, dass diese kritischen Updates verfügbar sind und mit Priorität aufgespielt werden müssen. Oder sie waren technisch dazu nicht in der Lage.

Sie können nicht alles patchen

Eine bittere Pille bleibt zum Schluss: Sie können nicht alles patchen. Auch automatisches Patchen hilft nicht gegen Zero-Day Exploits. Ohne Updates müssen aus Ihrer Patch Management Strategie andere Schritte folgen.

Wie Sie sich und Ihre Systeme absichern können

Wenn Sie nicht alles patchen können – weil Sie Legacy-Software verwenden oder weil die Patches zu Problemen mit anderer Software führen würden – müssen Sie einen anderen Weg einschlagen. Blockieren Sie Applikationen, die sich nicht updaten lassen. Das können Sie etwa über Whitelisting oder Zugangsberechtigungen lösen. Und Ihre Nutzer sollten nur Zugriff auf die Applikationen haben, die sie tatsächlich brauchen. Sie dürfen zudem nicht in der Lage sein, unautorisierte Software selbst aufzuspielen.

Sie brauchen einen Gesamtüberblick über Ihre Einzellösungen

Gute Cybersicherheit stellt ein Puzzle mit sehr vielen Teilen dar. Wenn Ihre IT- und Sicherheits-Spezialisten da nicht den Überblick behalten, auch über Ihr Sammelsurium an Einzellösungen, ist das Scheitern programmiert. Wenn die Versatzstücke nicht gut zusammenpassen und nirgends das vollständige Bild erscheint, dann werden Ihnen Lücken entgehen. Laut dem Ciscso Cybersecurity Report 2017 setzen 55 Prozent der Sicherheitsexperten Lösungen von mindestens sechs Anbietern ein.

Sie brauchen Tools und Experten für das richtige Patch Management

Der Fachkräftemangel im Sicherheitsbereich macht es noch schwieriger. Ohne die Spezialisten oder Tools, die feststellen können, welche Warnmeldungen kritisch sind und was sie ausgelöst hat, sind IT-Sicherheitsmitarbeiter heute häufig gezwungen, Alarme nur zur Kenntnis zu nehmen statt ihnen nachzugehen. Dem Report zufolge wird fast die Hälfte der Warnmeldungen nicht untersucht! Richtiges Patch Management sieht anders aus. 

Warum Patchen allein nicht hilft – 5 Punkte, die Sie sich merken sollten
Warum Patchen allein nicht hilft – 5 Punkte, die Sie sich merken sollten

Patch Management: Strategien und Herausforderungen

Was heißt das jetzt? Es ist klar, dass Hacker kritische Schäden in der IT-Infrastruktur verursachen können. Sie benötigen daher nicht nur Sicherheitssoftware, sondern auch eine Patch Management Strategie. Eine Patch Management Suite wie Ivanti Patch hilft Ihnen, einen Überblick zu gewinnen. Das sehen auch unabhängige Experten so.

Wenn Sie mehr darüber erfahren wollen, was Unternehmen als die größten Herausforderungen beim Sicherheits- und Patch Management sehen, lesen Sie unseren Beitrag zur Shavlik-Studie.