Schwachstellen in Software sind ein gefundenes Fressen für Angreifer. Ein zeitgemäßes Patchmanagement darf sich angesichts der vielfältigen Bedrohungen nicht allein auf die Microsoft-Produkte konzentrieren, sondern muss sich auch verbreiteten Drittanbieteranwendungen widmen. Der dänische Anbieter Heimdal Security geht noch einen Schritt weiter und hat eine ganze Suite zum Schutz vor Cyberbedrohungen im Programm. Mit dem Fokus auf das Patchen haben wir uns das cloudbasierte Angebot genauer angesehen.
Der Schwerpunkt des 2014 in Kopenhagen gegründeten Unternehmens Heimdal Security liegt auf der Bereitstellung von IT-Sicherheitsprodukten, insbesondere im Bereich der Cybersecurity und Bedrohungserkennung. Das Unternehmen hat sich auf die Bekämpfung von Cyberbedrohungen und die Verbesserung der Informationssicherheit spezialisiert. Die Hauptbereiche, auf die sich Heimdal Security konzentriert, sind Bedrohungserkennung und Prävention im Netzwerk wie auf Endpunkten, Patchmanagement, Sicherheitsanalysen und Reporting sowie Sicherheitsschulungen und -beratung.
Um die genannten Aspekte für eine komfortable Bedienung unter einem Dach zusammenzufassen, hat Heimdal ein universelles Portal entworfen, genannt Unified Threat Platform (UTP), mit der Möglichkeit, die einzelnen Produkte wahlweise getrennt oder als übergreifende Suite einzusetzen. Heimdal bietet seine Produkte ausschließlich als Software-as-a-Service (SaaS) an, sodass auf Kundenseite keinerlei Compute-Ressourcen in Anspruch genommen werden. Die Kommunikation mit den zu schützenden Systemen erfolgt mittels eines zu installierenden Agenten.
Da eine umfassende Betrachtung aller unter dem Portal zusammengefassten Produkte den Rahmen eines Tests sprengen würde, haben wir uns das Patch- und Assetmanagement herausgegriffen. Es unterstützt Betriebssystem-Patches für Windows, Linux und macOS sowie das Patchen von knapp 200 weiteren Softwareprodukten unter Windows sowie 25 Produkten unter Linux.
Der Schwerpunkt des 2014 in Kopenhagen gegründeten Unternehmens Heimdal Security liegt auf der Bereitstellung von IT-Sicherheitsprodukten, insbesondere im Bereich der Cybersecurity und Bedrohungserkennung. Das Unternehmen hat sich auf die Bekämpfung von Cyberbedrohungen und die Verbesserung der Informationssicherheit spezialisiert. Die Hauptbereiche, auf die sich Heimdal Security konzentriert, sind Bedrohungserkennung und Prävention im Netzwerk wie auf Endpunkten, Patchmanagement, Sicherheitsanalysen und Reporting sowie Sicherheitsschulungen und -beratung.
Um die genannten Aspekte für eine komfortable Bedienung unter einem Dach zusammenzufassen, hat Heimdal ein universelles Portal entworfen, genannt Unified Threat Platform (UTP), mit der Möglichkeit, die einzelnen Produkte wahlweise getrennt oder als übergreifende Suite einzusetzen. Heimdal bietet seine Produkte ausschließlich als Software-as-a-Service (SaaS) an, sodass auf Kundenseite keinerlei Compute-Ressourcen in Anspruch genommen werden. Die Kommunikation mit den zu schützenden Systemen erfolgt mittels eines zu installierenden Agenten.
Da eine umfassende Betrachtung aller unter dem Portal zusammengefassten Produkte den Rahmen eines Tests sprengen würde, haben wir uns das Patch- und Assetmanagement herausgegriffen. Es unterstützt Betriebssystem-Patches für Windows, Linux und macOS sowie das Patchen von knapp 200 weiteren Softwareprodukten unter Windows sowie 25 Produkten unter Linux.
Heimdal Patch und Asset Management
Produkt
Software-as-a-Service für das Patchmanagement unter Windows, Linux und macOS samt Unterstützung von Drittanbieterapplikationen.
PAM für 100 Workstations kostet jährlich 1152 Euro, für zehn Server jährlich 185 Euro. Es gibt Staffelpreise für größere Mengen sowie für längere Vertragslaufzeiten.
Systemanforderungen
- Installation des Heimdal-Agenten auf x86-, x64 und ARM-Plattformen.
Es ist zwar durchaus möglich, nur das "Patch & Assetmanagement" (PAM) zu buchen und eigenständig zu betreiben, doch widerspricht diese separate Nutzung der Herstellerphilosophie. Heimdal möchte vielmehr den ganzen Bereich der Cybersecurity mit den Themen Netzwerksicherheit, Patch- und Assetmanagement, Zugriffsmanagement, Endpunkt Sicherheit, Remote Desktop, E-Mail und Kollaborations-Sicherheit sowie Threat Hunting abdecken. Dementsprechend sind das Konzept der Suite, die Datenkommunikation sowie Bedienung auf eine übergreifende Nutzung ausgerichtet. So besteht die Unified-Threat-Plattform (UTP) aus Benutzersicht aus einer alle Produkte umfassenden Web-GUI samt weitgehend starrem Dashboard mit 14 Fenstern, von denen sich drei auf PAM beziehen, die übrigen blieben beim Test leer. Der Benutzer kann diese Fenster nach Belieben anordnen und Fenster für inaktive Module rutschen automatisch nach unten, der Umfang und Inhalt der Fenster ist aber fest vorgegeben.
Die Anmeldung am Portal beziehungsweise der UTP erfordert ein mindestens 12 Zeichen langes Passwort, zur Sicherheit ist eine Zweifaktor-Authentifizierung dringend zu empfehlen. Statt einer Drilldown-Funktion für einen Blick in die Tiefe befindet sich nach dem Login in jedem Fenster oben rechts ein Augensymbol, über das die Benutzer auf die jeweilige Detailseite gelangen. Im Navigationsmenü am linken Rand sind alle Produkte der Suite zu finden, aber nur für die gebuchten Module werden wie schon erwähnt Inhalte angezeigt. Bei den einzelnen Menüpunkten und Funktionen gibt es welche, die modulübergreifend arbeiten wie die Gruppenrichtlinien oder die Berichte, andere beschäftigen sich genau mit einem Modul.
Übergreifend arbeitet auch der Heimdal-Agent, der die Kommunikation mit den überwachten Endpunkten, also den Arbeitsplätzen und Servern übernimmt. Nachdem es keinen Gatewayserver oder ähnliches gibt, ist dieser Agent auf jedem Endpunkt zu installieren. Ebenso verzichtet UTP auf einen Repository-Server auf Kundenseite, sondern verfolgt für die Betriebssystemupdates sowie das Patchen von Drittanbieterapplikationen jeweils ein anderes Konzept. Dazu kommen wir weiter unten genauer.
Für eine Agenteninstallation muss der Administrator diesen einmal vom Portal herunterladen. Er kann ihn dann im Netz über die üblichen Möglichkeiten wie per GPO, SCCM, Intune, Skript oder auch manuell verteilen. Der Agent erfordert als Voraussetzung das .NET-Framework 4.8, das gegebenenfalls automatisch mitinstalliert wird. Bei der manuellen Installation wird immer der Lizenzschlüssel für die korrekte Kundenzuordnung der Endpunkte abgefragt.
Für eine automatische Agenteninstallation ist es möglich, mithilfe eines von Heimdal bereitgestellten Tools den Lizenzschlüssel in den MSI-Installer zu integrieren. Dies greift bewusst nur bei einer automatischen (silent) Installation; wird dieser modifizierte Installer manuell aufgerufen, erscheint trotzdem die Frage nach dem Lizenzschlüssel. Kurz nach einer Agenteninstallation taucht der Endpunkt im Portal auf, ohne dass eine weitere Aktion erforderlich ist.
Möchte der Administrator nach nicht erfassten Endpunkten suchen, ist dies in UTP möglich, und zwar ohne Domänenkonto. Hierdurch werden erst gar keine Credentials erfasst, die womöglich für einen Einbruch dienen könnten. Vielmehr wählt der Administrator im Portal einen Endpunkt mit Agenten aus und lässt diesen nach weiteren Systemen im Netz suchen, was über eine Reverse-DNS-Abfrage läuft. Gefundene Endpunkte erscheinen dann nach und nach auf einem Registerblatt.
Gut organisiert dank Gruppenrichtlinien
Um Endpunkte nach der Agenteninstallation beispielsweise für unterschiedliche Patchvorgaben zu organisieren, lassen sich in der UTP verschiedene Gruppen anlegen mit einer automatischen Zuordnung anhand von AD-Rechnergruppen, Hostnamen oder auch IP-Adressbereichen. Das Richtlinienprüfintervall beträgt minimal 15 Minuten und ist per Schieber anpassbar. Weitere zusätzliche Einstellungen stehen zur Verfügung – zu erwähnen ist hier die Möglichkeit, die Agentendeinstallation mit einem Passwort zu verknüpfen, sodass ein Anwender einen Endpunkt nicht eigenständig abkoppeln kann.
Eine Zuordnung zu unterschiedlichen Gruppenrichtlinien kann verschiedene Gründe haben, wie eine Zuweisung verschiedener Drittanbieterapplikationen oder die Einrichtung einer Pilotgruppe, um bei der Verteilung von Patches diese zuerst an einigen nicht so wichtigen Systemen zu proben, bevor das breite Ausrollen in die Produktionsumgebung erfolgt.
Bezogen auf Microsoft-Patches kann der Administrator über Gruppen nach unterschiedlichen Windows-Update-Kategorien filtern, optionale Updates installieren lassen, Windows-11-Upgrades sowie Neustarts verhindern. Für OS-Updates sowie Neustarts lassen sich weiterhin Zeitpläne einrichten sowie fällige Updates um eine bestimmte Anzahl an Tagen verzögern.
Beim Einrichten von Zeitplänen ist es möglich, einzelne Wochentage oder auch bestimmte Tage im Monat vorzugeben sowie ein Zeitintervall zu definieren, um dann nur innerhalb oder außerhalb von diesem zu patchen. Gleiches gilt für die Planung von Neustarts. Hier lässt sich vorgeben, ob ein Anwender einen fälligen Neustart verschieben kann und wenn ja, wie oft und wie lange.
Heimdal legt nach eigener Aussage großen Wert darauf, Admins ausreichend Einstellmöglichkeiten mitzugeben, um zu vermeiden, dass die Anwender durch das Patchmanagement in ihrer Arbeit gestört werden. Nach Betrachtung der diversen Optionen können wir diese bestätigen und es stehen für die grundsätzliche Steuerung von OS-Updates ausreichend Optionen zur Verfügung, um auch in größeren Umgebungen granular patchen zu können.
Bei den unterstützten Drittanbieteranwendungen kann der Admin nicht nur die Updates steuern, sondern auch die Installation selbst. So lässt sich auswählen, welche Applikationen auf einem Client in jedem Fall installiert werden sollen. Weiterhin kann er die optionale Installation einer Applikation zulassen. Damit erhält ein Anwender die Möglichkeit, am Endpunkt den Agenten über das Symbol im System-Tray zu öffnen und sieht hier eine Liste der zur Installation freigegebenen Applikationen, um daraus zu wählen. Auf diese Weise fungiert das PAM auch als Softwarekiosk.
Um die Funktionsweise und die Bedienung genauer zu betrachten, haben wir in unserer Testumgebung den Agenten auf mehreren Clients unter Windows 10 sowie Windows Server 2016 mit unterschiedlichen Patchständen sowie verschiedenen Drittanbieteranwendungen installiert. Wie erwartet tauchten die Endpunkte kurz danach in der UTP auf und wurden inventarisiert. Unter dem Menüpunkt "Management / Aktive Endpunkte" waren alle Systeme aufgelistet und wir konnten hier jedes anwählen und die allgemeinen Geräte- und Hardwareinformationen sowie das installierte Betriebssystem mit einigen Details einsehen. Ähnlich wie bei der Dashboard-Ansicht mit vorbereiteten Fenstern für alle zu UTP gehörigen Produkte besitzt auch die Einzelansicht eines Endpunkts entsprechend viele Registerblätter, von denen wir nur zwei, nämlich "Allgemein" und "Patch & Asset Management", nutzen konnten. Letzteres verzweigt wiederum in drei Ansichten "3rd Party Patch Management", "Operating System Updates" sowie "Asset Management".
Frühere Updates nicht sichtbar
Aus den zuvor genannten drei Ansichten interessierte uns nun zuerst die mittlere mit den OS-Updates unserer Windows-Systeme. Dabei fiel uns auf, dass UTP nur auflistet, welche Microsoft-Updates über den Agenten installiert wurden, noch ausstehen sowie verfügbar sind. Welche Patches allerdings vor der Einrichtung des Agenten bereits auf anderem Wege installiert wurden, war nicht sichtbar.
Ähnlich begrenzt zeigte sich die Darstellung beim Einstieg nicht über einen Endpunkt, sondern über die Liste der Windows-Patches. Auch hier fanden wir nur diejenigen vor, die der Heimdal-Agenten installiert hatte, alles davor nicht. Patches, die von keinem der betreuten Clients benötigt wurden, blieben ebenfalls außen vor.
Auf der Suche nach dem Grund für dieses Verhalten erhielten wir vom Hersteller eine schlüssige Antwort: UTP übernimmt die Verteilung der Windows-Patches nicht selbst, sondern steuert diese nur, indem das Tool über den Agenten die notwendigen Kommandos an den Windows Update Service (WUS) weitergibt. Je nach bevorzugter Konfiguration lassen sich hier ein WSUS-Server einbinden, ein hinterlegter Verteilserver im Intranet oder als Standard die Quellen bei Microsoft. Entsprechend der Anweisung durch PAM sucht der WUS nach fehlenden Patches, das Ergebnis wird in der UTP-Oberfläche angezeigt. Das Suchintervall beträgt standardmäßig 12 Stunden und kann bei Bedarf verlängert, aber nicht verkürzt werden, um einen Endpunkt nicht unnötig zu belasten.
Gibt der Administrator die ermittelten Patches frei, übernimmt wiederum der WUS die Installation. Entsprechend dessen Verhaltens dauert es unterschiedlich lange, bis die Patches heruntergeladen und eingerichtet sind, auch berücksichtigt der WUS eigenständig eventuelle Abhängigkeiten sowie die Installationsreihenfolge und fällige Neustarts.
Zugegebenermaßen ist das hier verfolgte Konzept Geschmackssache. Wer es begrüßt, dass sich die Anzeige auf die erkannten und verarbeiteten sowie noch anstehenden Patches beschränkt, ist bei PAM gut aufgehoben, wer wie bei manch anderen Mitbewerbern komplette Übersichten aller verfügbaren Patches mit ihrer Relevanz bevorzugt, wird diese hier nicht vorfinden. Im Vergleich zur alleinigen Nutzung des Windows Update Service oder auch eines WSUS-Servers bietet die UTP auf jeden Fall einen besseren Überblick.
Ein weiterer Vorteil gegenüber anderen Patchwerkzeugen soll an dieser Stelle ebenfalls nicht unerwähnt bleiben: Da der WUS die Arbeit übernimmt, entstehen bei der Veröffentlichung neuer Patches durch Microsoft keinerlei Verzögerungen durch eine zusätzlich erforderliche Aufbereitung seitens des Herstellers der Patchsoftware. Bei Betriebssystem-Updates für Linux und macOS setzt PAM dabei analog zu Windows auf den Standardprozessen der jeweiligen OS-Hersteller auf und steuert diese.
Frei von Bloatware
Im Gegensatz zu den Betriebssystempatches erfolgt die Verteilung der unterstützten Applikationen über ein von Heimdal gepflegtes Repository. Dazu überwacht der Hersteller die Patchbereitstellungen für diese Drittanbieterprodukte und lädt Aktualisierungen selbst herunter. Anschließend werden oft enthaltene, potenziell unerwünschte Ergänzungen wie Webbrowser oder sonstige nicht notwendige Zusätze entfernt und der eigentliche Patch extrahiert, um daraus ein angepasstes und getestetes Updatepaket zu erstellen.
Heimdal garantiert, dass diese Aufbereitung innerhalb von vier Stunden abgeschlossen ist, sodass Drittanbieterpatches kurz nach der Veröffentlichung auch auf der UTP verfügbar sind. Wie auch bei den Microsoft-Updates kann der Administrator je Applikation oder global eine Updateverzögerung aktivieren. Zudem kann er vorgeben, dass nur bis zu einer bestimmten Version aktualisiert wird.
Bezüglich der beworbenen Anzahl von knapp 200 unterstützten Drittanbieterapplikationen für Windows sowie 25 für Linux sind es genauer betrachtet deutlich weniger, weil unterschiedliche Versionen einer Anwendung getrennt gezählt werden wie beispielsweise dreizehn Teamviewer-Versionen oder elf Firefox-Varianten (x86- und x64-Versionen in unterschiedlichen Sprachen). Neben der Applikationsbereitstellung steht dem Administrator auch eine Sperrliste zur Verfügung, um die Deinstallation nicht erwünschter Anwendungen zu erzwingen.
Sicher eher selten benötigt, bietet die Oberfläche ebenso die Deinstallation von Patches an, sofern das einmal notwendig sein sollte. Das PAM ist hier keine Einbahnstraße. Alle zwei Stunden begibt sich der Agent derweil auf die Suche nach neu bereitgestellten Drittanbieterpatches, so dass inklusive der Aufbereitung durch Heimdal die gesamte Verzögerung bei der Patchverteilung erfreulich gering ausfällt.
Um darüber hinaus auch für nicht direkt unterstützte Anwendungen ein Patchmanagement anbieten zu können, gibt es zusätzlich noch ein sogenanntes Infinity-Management. Hierbei kann der Administrator für beliebige Anwendungen vorhandene Installationsquellen einbinden sowie eigene Pakete bauen und mit entsprechenden Installationsbefehlen in der UTP hinterlegen. Für diese Pakete steht ein Uploadbereich mit 1 TByte Kapazität zur Verfügung. Für die gesamte Pflege wie Aktualisierungen von Patches und deren Test ist verständlicherweise der jeweilige Administrator verantwortlich, Heimdal stellt nur die Plattform zur Verfügung. Das ist trotzdem sehr hilfreich, da sich so beliebige Anwendungen mit den bestehenden Prozessen aktualisieren lassen und der Administrator keine zusätzlichen Abläufe implementieren muss.
Eher starre Berichte
Die UTP hat zwei Arten von Berichten integriert, die allerdings recht starr anmuten. Auf Knopfdruck kann sich der Admin einen Statusbericht zusenden lassen, der für jedes der enthaltenen Module einen oder mehrere Abschnitte enthält. Bei nichtlizenzierten Modulen sind nur Nullen vorzufinden; für unser PAM waren sechs Abschnitte enthalten, nämlich Applikations- und Betriebssystemupdates jeweils für Windows, Linux und macOS.
Bei der zweiten Berichtsart geht es um die eingesparten Kosten, also den Return of Investment (ROI) durch den Einsatz der Suite. Die Angaben basieren auf diversen Vergleichsrechnungen: Bezüglich PAM wird angegeben, wie hoch die Einsparungen im Vergleich dazu ausfallen, wenn ein Administrator mit einem vorgegebenen Gehalt 1000 Endpunkte ohne ein automatisches Patchmanagement betreuen würde und dabei deutlich mehr Arbeitsstunden investieren müsste.
Bei den anderen Modulen geht es beispielsweise um angenommene Kosten für eine Datenwiederherstellung nach einem erfolgreichen Malwareangriff. Inwiefern derartige Rechnungen für den Einsatz relevant und auch valide sind, muss jeder Nutzer für sich entscheiden. Neben den Berichten hat der Administrator die Möglichkeit, aus den diversen Ansichten der Endpunkte und der Patches entsprechende Listen im CSV-Format herunterzuladen.
Tiefgehende Dokumentation
Im Supportbereich befindet sich die Dokumentation der gesamten Suite. Entsprechend des modularen Aufbaus gibt es hier Themen, die sich nicht nur auf PAM beziehen, sondern wegen der überlappenden Nutzung auf den gesamten Funktionsumfang wie die Agentenbeschreibung, den Umgang mit dem Dashboard oder die Nutzung der Gruppenrichtlinien.
Daneben existieren eigene Abschnitte für die einzelnen Module und auch für PAM. Letzterer war zum Testzeitpunkt in elf Artikel unterteilt, um die verschiedenen Themen wie die unterschiedlichen Patcharten (Applikationen, Betriebssystem, Infinity-Management) zu beschreiben. Zu finden sind hier auch Tipps zum Einsatz von Batch- und PowerShell-Skripten sowie zur Verteilung von Microsoft Office Professional Plus 2019 sowie Microsoft 365 über das Infinity-Management. Gefallen hat uns, dass die Informationen in den Artikeln in die Tiefe gehen und auch die Abläufe im Hintergrund teils sogar mit detaillierten Diagrammen beschreiben, nicht nur die Bedienung.
Eine kontextsensitive Hilfe mit Verweis auf entsprechende Artikel ist in der Benutzeroberfläche nicht enthalten, jedoch befinden sich an fast allen Punkten kleine Fragezeichen, bei deren Darüberfahren mit dem Mauszeiger kurze Hilfetexte mit Hinweisen erscheinen.
Fazit
Das Heimdal Patch- und Assetmanagement ist ein Baustein des umfangreichen Software-as-a-Service-Angebots der Unified Threat Platform, einer modular aufgebauten Suite zum Schutz vor Cyberbedrohungen aller Art. Aufgrund des SaaS-Konzepts werden auf Benutzerseite keinerlei Hardwareressourcen benötigt, sondern es ist nur auf jedem zu schützenden Endpunkt der sogenannte Heimdal-Agent zu installieren, der für alle genutzten Module der Suite die Kommunikation übernimmt. Betriebssystemseitig werden Windows, Linux sowie macOS unterstützt, wodurch sich PAM auch für einen Einsatz in heterogenen Umgebungen eignet.
Die als Web-GUI gestaltete Benutzeroberfläche ist statisch aufgebaut und beinhaltet für alle Module der Suite entsprechende Menüeinträge sowie Fenster auf dem Dashboard, auch wenn nur ein Teil der Suite genutzt wird. Hier sehen wir Optimierungspotenzial, indem nicht genutzte Teile ausgeblendet werden. Die Oberfläche ist in mehreren Sprachen verfügbar, die Übersetzung aber an manchen Stellen verbesserungsbedürftig, zusätzlich finden sich mehrfach nicht aus dem Englischen übersetzte Bezeichnungen.
Bezüglich der Geschwindigkeit bei der Patchbereitstellung hat uns PAM sehr gut gefallen. Für Patches von Microsoft steuert die Software den Windows Update Service, sodass hier Aktualisierungen direkt nach Veröffentlichung durch Microsoft ohne zusätzliche Aufbereitung durch Heimdal zur Verfügung stehen. An der Arbeitsweise des WUS kann der Administrator allerdings nichts beschleunigen.
Aufgrund der im Test gemachten Erfahrungen scheint der Einsatz von PAM vor allem dann sinnvoll, wenn ein Unternehmen auch andere Module der Unified Threat Platform nutzen möchte und sich durch den gemeinsamen Agenten sowie die durchgängige GUI Synergien ergeben. Wer nur Patchmanagement benötigt, sollte sich auch andere Produkte ansehen, wahlweise lokal oder als SaaS.