Sebastian Weber: Das hängt zunächst einmal stark von den individuellen Anforderungen an die eigene Sicherheit und eventuellen rechtlichen Vorgaben ab. Zusätzlich spielen natürlich die Größe der Organisation und die Art der verwendeten Systeme eine nicht unerhebliche Rolle. Dennoch gibt es einige Mindestanforderungen an das Patching von Betriebssystemen und Anwendungen: Vor allem muss es regelmäßig stattfinden, mit definierter Priorisierung sowie Reporting. Zusätzlich sollte es mindestens eine Prozedur für ein Notfall-Patching sowie die Dokumentation des Prozesses geben. Nicht vergessen werden darf der Test anstehender Updates. Außerdem sind Backups für ein eventuelles Rollback wichtig.

Zur Kür gehört immer die Automatisierung von Patchvorgängen. Hier muss definiert sein, welche Patches und Updates in welcher Geschwindigkeit ausgebracht werden. Außerdem minimiert die Automatisierung menschliche Fehler, und urlaubs- oder krankheitsbedingte Verzögerungen lassen sich vermeiden. Eine Automatisierung unterstützt vor allem dabei, Patches und Updates zu priorisieren. Die Reihenfolge sollte immer sein: Zuerst sicherheitsrelevante und kritische Updates und Patches einspielen, anschließend Feature-Updates. Zusätzlich ist es ratsam, das Patchmanagement mit einem Schwachstellenmanagement zu verknüpfen, um immer eine Erfolgskontrolle zu haben.

Unterschiede bei der Unternehmensgröße gibt es eigentlich nur bei den Mindestanforderungen an ein Update- und Patchmanagement. Generell muss das Ziel sein, ein zeitnahes und sicheres Patchen zu ermöglichen und dabei auch die Benutzer mit einzubeziehen. Diese sollten heute auf jeden Fall über die Bedeutung von Patches und Updates informiert sein. Hier spielt die Unternehmensgröße dann doch wieder eine Rolle, denn je größer das Unternehmen, umso individueller sind die Zeiten, in denen das unterbrechungsfreie Ausbringen von Updates und Patches möglich ist. Dabei gilt es, die Betroffenen hinsichtlich der Zeiten mit einzubeziehen und sie im Zweifel diese selbst definieren zu lassen.

Eine Kombination auch eines automatisierten Patch- und Updatemanagements mit einer Schwachstellenverwaltung trägt dazu bei, Patches einfach priorisieren zu können. Hoch bewertete Schwachstellen, die meistens auch ein Unternehmensrisiko darstellen, lassen sich so sehr einfach schließen. Als Prozess empfiehlt es sich, den Automatismus aus einer gefundenen Schachstelle heraus zu starten. So lassen sich in einer guten Unified-Endpoint-Management-Infrastruktur alle betroffenen Devices mit einem Mausklick finden, und der Patchprozess kann starten. Das gilt auch, wenn irgendwann in der Zukunft noch mal ein Gerät auftaucht, das von der Schwachstelle betroffen ist.

Um eine Automatisierung anzugehen, ist es hilfreich, sich an Konzepten wie SOAR, der Security Orchestration, Automation and Response, zu orientieren. Dort sind bereits sehr gute Prozessempfehlungen aufgeführt. Die Grundlage sind aber immer die Inventardaten. Nur wenn ich als IT-Abteilung weiß, dass ein Device vorhanden ist, kann ich es auch schützen. Die sogenannte Schatten-IT gilt es deshalb unbedingt zu vermeiden.

Die Arbeitswelt hat sich in den letzten Jahren, nicht zuletzt wegen der Pandemie, stark gewandelt und damit auch die Bedingungen für die IT. Früher konnten wir mehr oder weniger davon ausgehen: Nine-to-five-Jobs, das bedeutet, wir können in aller Ruhe einen Patch-Zeitraum beispielsweise abends wählen, ohne jemanden zu stören. Im Zeitalter von New Work und Home Office sieht das jetzt ganz anders aus. Wir kommen nicht mehr darum herum, unsere Mitarbeiter in den Prozess mit einzubeziehen.

Moderne UEM-Werkzeuge bieten hierfür Kiosksysteme, in denen jeder Nutzer selbst einen Zeitraum für sein Device definieren kann. Oder er erhält einen Hinweis, dass ein wichtiges Update ansteht, kann es dann aber auch eigenständig – etwa, wenn ein Herunterfahren des Systems notwendig ist – verschieben. Die Überwachung des Prozesses und das Reporting erhalten dadurch einen noch viel höheren Stellenwert als bisher. Zusätzlich haben sich aber auch die Clientmanagement-Systeme zu UEM oder sogar schon S(ecure)UEM-Systemen weiterentwickelt. Diese bilden nicht nur Automatismen für alle Geräte ab, sondern integrieren zudem Schwachstellen-, Verschlüsselungs- sowie Antivirenmanagement und automatisieren die Kombination dann.

Reporting und Überwachung der Patchmechanismen sind wichtiger denn je. Hierbei helfen heutzutage Dashboards und automatische Reports. So kann der Admin einrichten, dass die IT-Abteilung aktiv per E-Mail darüber informiert wird, dass ein bestimmtes Device noch auf einem alten Stand ist – wenn innerhalb von einer fest definierten Zeit der Patch noch nicht installiert ist. Gerade große Unternehmen führen die Erfolgskontrolle etwa mit einem zweiten Schwachstellenmanagement aus, um sicher zu gehen, dass tatsächlich alle Schwachstellen behoben sind.

Es ist wichtig, die Notwendigkeit und den Nutzen eines effektiven Patchmanagements herauszustellen. Bei der Argumentation helfen sehr gut Beispiele angegriffener Unternehmen aus der gleichen Branche. Hier sind dann nur die Aufwendungen für das Patchmanagement den Kosten gegenüberzustellen, die entstehen, wenn das Unternehmen aufgrund einer nicht gepatchten Schwachstelle angegriffen wird. Dann nämlich ist der Betrieb – sollte es ganz hart kommen – mehrere Tage bis Wochen nicht handlungsfähig. Zusätzlich spart eine automatisierte Lösung extrem viel Arbeitszeit und somit auch Geld – insgesamt also schlagende Argumente, die für das C-Level gut nachzuvollziehen sein dürften.

Auch Microsoft testet seine eigenen Patches vor der Veröffentlichung. Trotzdem gibt es immer wieder Konstellationen, in denen ein Patch dazu führt, dass ein Device nicht mehr oder nur noch eingeschränkt funktioniert. Um dies zu vermeiden, sollte sich die IT-Abteilung stets definierter Prozesse bedienen. Ein Beispielvorgang wäre hier, einen Patch zunächst auf eine Testumgebung innerhalb der IT zu verteilen. Treten hierbei keine Probleme auf, kann er auf einen größeren Kreis von Devices ausgerollt werden. Idealerweise sind das dann Geräte von beispielsweise Auszubildenden oder Teilzeitkräften, bei denen es nicht geschäftskritisch ist, wenn ihre Rechner mal ein bis zwei Stunden nicht zur Verfügung stehen. Anschließend folgt der Rollout in der breiten Masse. Moderne Unified-Endpoint-Management-Werkzeuge bieten dafür Automatismen, sodass der IT-Administrator nur noch beobachten und – wenn alles gut läuft – nicht mehr aktiv eingreifen muss.