ADMIN

2024

02

2024-01-30T12:00:00

Softwareverteilung und Patchmanagement

SCHWERPUNKT

093

Sicherheit

Patchmanagement

Strategien beim Patchmanagement

Vorsorge für den Notfall

von André Schindler

Veröffentlicht in Ausgabe 02/2024 - SCHWERPUNKT

Die stetig wachsende Bedrohung durch Cyberangriffe hebt die kritische Rolle des Patchmanagements in der heutigen IT deutlich hervor. Eine beträchtliche Anzahl von erfolgreichen Attacken sind auf ungepatchte Betriebssysteme oder Software zurückzuführen, für die es bereits verfügbare Fixes gibt, die jedoch nicht installiert wurden. Wir beleuchten die bewährten Schritte eines Patchmanagement-Prozesses, die Vorteile eines ausführlichen Audits und welche Aspekte es bei der Auswahl von Tools zu beachten gilt.

Die Dynamik der Bedrohungslandschaft ist in den letzten Jahren rasant gestiegen, und diese Entwicklung spiegelt sich in der Anzahl der Sicherheitslücken in Softwareprodukten wider. So erfasste die National Vulnerability Database im Jahr 2022 25.096 Schwachstellen mehr als in jedem bisherigen Jahr und ein Anstieg von über 25 Prozent im Vergleich zum Vorjahr. Und der Verizon Data Breach Investigations Report 2021 stellte fest, dass 61 Prozent der analysierten Datenverletzungen auf die Ausnutzung von Schwachstellen zurückzuführen waren. Zudem ist ungepatchte Software laut Ivanti nach wie vor das beliebteste Einfallstor für Ransomware-Angriffe – und mehr als ein Drittel der zur Zeit der Erhebung bekannten Exploits wurden bereits im Darknet ausgetauscht.
Die Zahlen sprechen für sich: Patchen ist Pflicht und wer prokrastiniert, verliert. Doch besonders bei großen Organisationen mit einer komplexen IT-Umgebung, mit verteilten Teams, unterschiedlichen Betriebssystemen und einer Vielzahl von Anwendungen, gestaltet sich die Aktualisierung von Software oft zeitaufwendig und mühsam. Das allein darf aber keine Ausrede für unzureichendes Patchen sein.
Herausforderungen beim Patchmanagement
Selbst wenn Komplexität und Vielfalt einer großen IT-Landschaft keine Herausforderung wären, würden genügend andere Schwierigkeiten IT-Teams aufhalten. Brav die neuesten Patches zu installieren kann nämlich ganz neue Probleme mit sich bringen. Ein Beispiel: Ein Update für macOS Big Sur im Jahr 2020 deaktivierte Kernel-Erweiterungen, was effektiv VPNs und einige andere Sicherheitstools außer Kraft setzte. Darauf angewiesene Unternehmen mussten also das Update aufschieben, bis sich entweder Apple oder ihr VPN anpassen konnte. Aber ein solches Update enthält nicht selten auch kritische Sicherheitsupdates, die sich nicht ohne Weiteres lange aufschieben lassen. Solche Netze aus Abhängigkeiten, Inkompatibilitäten und Dilemmas sind nicht selten im Patchmanagement. IT-Verantwortliche müssen also Trade-Offs in Kauf nehmen und die Worst-Case-Szenarien gegeneinander abwägen.
Die Dynamik der Bedrohungslandschaft ist in den letzten Jahren rasant gestiegen, und diese Entwicklung spiegelt sich in der Anzahl der Sicherheitslücken in Softwareprodukten wider. So erfasste die National Vulnerability Database im Jahr 2022 25.096 Schwachstellen mehr als in jedem bisherigen Jahr und ein Anstieg von über 25 Prozent im Vergleich zum Vorjahr. Und der Verizon Data Breach Investigations Report 2021 stellte fest, dass 61 Prozent der analysierten Datenverletzungen auf die Ausnutzung von Schwachstellen zurückzuführen waren. Zudem ist ungepatchte Software laut Ivanti nach wie vor das beliebteste Einfallstor für Ransomware-Angriffe – und mehr als ein Drittel der zur Zeit der Erhebung bekannten Exploits wurden bereits im Darknet ausgetauscht.
Die Zahlen sprechen für sich: Patchen ist Pflicht und wer prokrastiniert, verliert. Doch besonders bei großen Organisationen mit einer komplexen IT-Umgebung, mit verteilten Teams, unterschiedlichen Betriebssystemen und einer Vielzahl von Anwendungen, gestaltet sich die Aktualisierung von Software oft zeitaufwendig und mühsam. Das allein darf aber keine Ausrede für unzureichendes Patchen sein.
Herausforderungen beim Patchmanagement
Selbst wenn Komplexität und Vielfalt einer großen IT-Landschaft keine Herausforderung wären, würden genügend andere Schwierigkeiten IT-Teams aufhalten. Brav die neuesten Patches zu installieren kann nämlich ganz neue Probleme mit sich bringen. Ein Beispiel: Ein Update für macOS Big Sur im Jahr 2020 deaktivierte Kernel-Erweiterungen, was effektiv VPNs und einige andere Sicherheitstools außer Kraft setzte. Darauf angewiesene Unternehmen mussten also das Update aufschieben, bis sich entweder Apple oder ihr VPN anpassen konnte. Aber ein solches Update enthält nicht selten auch kritische Sicherheitsupdates, die sich nicht ohne Weiteres lange aufschieben lassen. Solche Netze aus Abhängigkeiten, Inkompatibilitäten und Dilemmas sind nicht selten im Patchmanagement. IT-Verantwortliche müssen also Trade-Offs in Kauf nehmen und die Worst-Case-Szenarien gegeneinander abwägen.
Als risikobasiertes Schwachstellenmanagement bezeichnen Experten eine Methode, die dabei helfen soll, eben diese Abwägungen zu treffen. Der Ansatz bewertet IT-Ressourcen unter anderem danach, wie schädlich ihr Ausfall wäre und welche Hindernisse eine Patchinstallation mit sich brächte. Häufig haben IT-Management-Tools bereits Funktionen, die diese Methode erleichtern, zum Beispiel zur automatischen Erkennung und Einordnung bekannter Schwachstellen.
Effektive Patchprozesse
Die folgenden zehn Punkte decken die fundamentalen Überlegungen ab, auf die es beim Patchmanagement ankommt. Ihnen voraus geht, dass für jeden einzelnen Schritt die Rollen und Verantwortlichkeiten klar definiert und zugewiesen sind. Nur wenn alle relevanten Akteure im Boot sitzen, lässt sich der Patchprozess erfolgreich umsetzen und kontinuierlich verbessern.
Der erste Punkt behandelt die Aufstellung aller Assets. Nur wenn die Inventarliste das Netzwerk tagesaktuell und komplett abbildet, sind alle relevanten Faktoren beim Patchen kalkulierbar. Dazu gehört ein Überblick über alle eingesetzten Gerätetypen, Betriebssysteme (und Versionen) sowie Anwendungen von Drittanbietern. Spezielle Tools, die Netzwerke scannen, helfen dabei, kein Gerät aus den Augen zu verlieren und erleichtern die regelmäßige Inventarisierung.
Der zweite Punkt adressiert die Kategorisierung. Denn beim Patchmanagement kommen verschiedene Richtlinien für unterschiedliche Kategorien von Geräten zum Einsatz. Eine einzelne Richtlinie, die jedes Gerät abdeckt, ist zum Scheitern verurteilt. IT-Verantwortliche sollten die Systeme nach Gerätetyp (Server, Laptop, et cetera), Betriebssystemen und Version davon, Benutzerrollen und Vergleichbarem einordnen. Mit diesen Kriterien gilt es, die Systeme nach Risiko und Priorität zu sortieren, um so auch im Zweifelsfall eine fundierte Entscheidung treffen zu können.
Beim Erstellen solcher Richtlinien sollten IT-Verantwortliche verschiedene Aspekte berücksichtigen: Welches Gerät soll wann und unter welchen Bedingungen gepatcht werden? Gibt es Systeme, die häufiger oder weniger häufig Patches brauchen? Auch verschiedene Arten von Aktualisierungen sollten Sie unterschiedlich behandeln, etwa Browser- und Betriebssystem-Updates oder auch kritische und unkritische Aktualisierungen.
Wichtig sind zudem die Zeitfenster (und Ausnahmen davon), auch mit Blick auf andere Zeitzonen, die zum unterbrechungsfreien Patchen zu reservieren sind.
Der vierte Punkt fordert vom IT-Personal, regelmäßig nach neuen Patches Ausschau zu halten. Wer mit den Release-Zyklen der relevantesten Softwareanbieter vertraut ist, kann besser planen und wird von Updates nicht kalt erwischt. Darüber hinaus macht sich ein Prozess, um außerordentliche Notfall-Patches einzuordnen und einzuplanen, ebenfalls bezahlt.
Punkt Nummer fünf lautet, die Patches zu testen. Auch wenn ein Sicherheitsupdate noch so dringend ist, ungetestet sollten Sie es auf kein laufendes System loslassen, das zeigt nicht zuletzt das genannte VPN-Beispiel. Eine abgekapselte Testumgebung mit Backupfunktionalität ist das Mindeste, um Kompatibilitätsstörungen zu erkennen, zu diagnostizieren und vor dem Deployment zu beheben oder eben aufzuschieben.
Direkt daran schließt Punkt sechs an, das Konfigurationsmanagement: Auch nach ausgiebigem Testen sind Probleme nach einem Patchdeployment im laufenden System nicht zu 100 Prozent auszuschließen. Umso wichtiger ist ein detailliertes Protokoll über sämtliche Änderungen für die Diagnose und Behebung solcher Probleme. Viele IT-Managementwerkzeuge erstellen diese Protokolle automatisch, und Sie sollten diese, auch wenn alles fehlerfrei abläuft, auf ihre Richtigkeit und Vollständigkeit prüfen.
Die nächsten drei Anforderungen umfassen das Patch-Deployment gemäß der zuvor erstellten Richtlinien. Im Anschluss an das Deployment (Punkt 7) zeigt ein Audit (Punkt 8), welche Updates installiert werden konnten und welche nicht. Auf dieser Basis lassen sich folgende Patchprozesse iterativ verbessern und optimieren. Das Reporting (Punkt 9) trägt zur vollen Transparenz und Nachvollziehbarkeit des Patchens, inklusive nichtinstallierter Updates, bei.
Der letzte Punkt umfasst das Evaluieren, Optimieren und Wiederholen. Aus den oben beschriebenen neun Schritten wird eine Routine, die Sie iterativ bewerten und optimieren sollten. Dazu gehört unter anderem, unbenutzte Geräte aus dem Inventar zu streichen, Blockaden und Flaschenhälse ausfindig zu machen und die Richtlinien auf ihre Effektivität zu prüfen.
Ein Patchmanagement-Werkzeug wie hier am Beispiel von NinjaOne sollte auch Audit- und Compliance-Informationen liefern.
Patchmanagement-Audits durchführen
Mal angenommen, der Patchprozess lief weitestgehend reibungslos ab und nahezu alle Patches landeten ohne weitere Probleme auf den Zielsystemen. Kann sich das IT-Team auf diesem Erfolg ausruhen und beim nächsten Durchlauf nach "Schema F" weitermachen? Mitnichten, denn keine zwei Patchprozesse laufen gleich ab und kein IT-System gleicht dem nächsten. Auf dem neuesten Stand zu bleiben bedeutet also auch, sich kontinuierlich anzupassen und zu verbessern. Das gilt nicht nur für Softwareversionen, sondern auch für Abläufe und Richtlinien.
Halten wir aus den oben beschriebenen Schritten eines Patchprozesses fest, welche Vorteile ein Audit bietet: Es hilft, Blockaden zu identifizieren und zu beseitigen, Sicherheitsrisiken zu verringern, die Einhaltung von Compliance-Standards zu belegen, Prozesse zu optimieren und relevante Daten zur Problembehebung zu sammeln. Eine anspruchsvolle Aufgabe. Die folgende Checkliste zeigt die wichtigsten Schritte eines Patchmanagement-Audits:
1. Verschaffen Sie sich Überblick über die Patching-Richtlinien und -Prozesse.
2. Ermitteln Sie den aktuellen Patchstatus durch Scannen des Netzwerks.
3. Prüfen Sie auf ungepatchte Schwachstellen, um Ursachen und eventuelle Trends zu ermitteln.
4. Analysieren Sie risikobasierte Entscheidungen und Verfahren, die den Patching-Prozess beeinflussen.
5. Stellen Sie sicher, dass die korrekten Metriken zum Einsatz kommen, um Informationen genau zu messen und aufzuzeichnen.
6. Vergewissern Sie sich, dass der Patchstatus an die richtigen Teammitglieder oder die Unternehmensführung gemeldet wird.
7. Identifizieren Sie verbesserungswürdige Prozesse und Bereiche.
8. Überprüfen Sie, ob die Erwartungen an das Patching schriftlich festgehalten und in Verträgen oder Vereinbarungen festgelegt sind.
Faktoren bei der Wahl des Patchmanagements
Risikoabschätzungen, Prozesse, Audits, Optimierungen und Compliance – es ist eine vielschichtige und komplexe Aufgabe, eine IT-Landschaft sicher und auf dem neuesten Stand zu halten. Daher ist es naheliegend, ein Tool zum Patchmanagement zu erwerben, um diesen Herausforderungen Herr zu werden. Die folgenden Kriterien gilt es bei der Wahl einer Software zum Patchmanagement zu beachten. Die Reihenfolge ist hierbei kein Ranking der Kriterien nach Priorität. Die Wichtigkeit der einzelnen Punkte müssen Sie individuell einschätzen, je nach Anwendungsfall und Aufbau des Unternehmens.
Fangen wir mit den unterstützten Betriebssystemen an: Homogene IT-Landschaften, die ausschließlich auf Windows, macOS oder Linux setzen, haben spezialisierte Tools zur Verfügung. Die meisten Patchmanagement-Tools sind mit verschiedenen Betriebssystemen kompatibel. Daran schließt sich der Punkt des Support für Anwendungen von Drittanbietern an. Die gängigen Office-Anwendungen sind für die meisten Patchmanagement-Werkzeuge kein Problem. Aber wie sieht es aus mit hochspezialisierter Software wie Core-Banking-Systemen, elektronischen Patientenakten oder industriellen Steuerungssystemen? Muss gegebenenfalls mit eigens erstellten Skripten nachgeholfen werden und/oder hat das Tool eine Community, die solche Skripte füreinander zur Verfügung stellt?
Ein Produkt mit automatisierten Prozessen hilft dabei, kritische Probleme schnell zu beheben und Sicherheitsrisiken zu minimieren. Die Automatisierung geht hier über das reine Deployment von Patches hinaus und kann auch die Identifizierung, Analyse, Genehmigung und Validierung von Patches beinhalten. Nicht minder wichtig als die Automatisierung ist die Möglichkeit, dort manuell einzugreifen, wo es nötig ist, um zum Beispiel durch manuelle Patchablehnungen Blockaden und Kompatibilitätsprobleme zu vermeiden. Auch die schnelle Korrektur bei einem Fehler sollte ad hoc möglich sein.
Tools zur Patchbereinigung sollte Ihr künftiges Produkt ebenfalls mitbringen, denn Fehler können immer auftreten und je mehr Möglichkeiten es gibt, diese zu korrigieren, desto besser. Hilfreiche Werkzeuge, über die eine Software verfügen sollte, sind zum Beispiel ein Remote-Terminal, eine Funktion zum Blockieren von Patches, ein Workflow für ihre Deinstallation und ein Registrierungseditor.
In Sachen Transparenz ist die Mindestanforderung, dass die Software sämtliche Aktionen protokolliert. Dies ist das Allermindeste, um Fehler zu diagnostizieren, Prozesse zu optimieren und Compliance nachzuweisen. Darüber hinaus helfen ausführliche, anpassbare und verständliche Patching-Dashboards und Leistungsberichte dabei, diese Daten zu sichten und auszuwerten.
Nicht unterschätzen sollten Sie die Komplexität bei Implementation und Verwaltung. Viele Tools zum Patchmanagement sind zwar mächtig, aber auch komplex in ihrer Einführung und bringen eine entsprechende Einstiegshürde mit sich. Kann Ihr IT-Team die Ressourcen aufbringen, ein solches Werkzeug zu implementieren, zu warten und die korrekte Nutzung zu meistern? Als Alternative stehen bei dieser Frage einfach gehaltene Clouddienste bereit, die potenziell effektiver für Ihr Unternehmen sein können. In diesem Zusammenhang sollten Sie sich frühzeitig die Benutzeroberfläche anschauen. Eine effektive Patchingsoftware bringt weniger, wenn sie sich nicht angenehm bedienen lässt – schließlich verbringt das IT-Team viel Zeit mit dem Interface.
Immer wichtiger wird auch die Unterstützung für hybride und Remote-Geräte. Manche Unternehmen arbeiten zu 100 Prozent in Präsenz, einige sind mittlerweile komplett Remote aufgestellt – und viele liegen irgendwo dazwischen. Ein Patchmanagement-Tool sollte in der Lage sein, die entferntesten Endpunkte nicht nur effektiv, sondern auch einfach zu verwalten. Denn wenn ein Produkt beispielsweise eine VPN-Verbindung erfordert oder die Komplexität für die Benutzer erhöht, bedeutet das in der Regel eine geringere Compliance und mehr anfällige Geräte im Betrieb.
Zu guter Letzt das liebe Geld: Preisgestaltung und Abo-Optionen hängen von verschiedenen Faktoren ab, wie der Häufigkeit der Zahlungen, den verschiedenen Pakettypen und inkludierten Funktionen, Rabatt für längere Laufzeiten und mehr. Ein Abgleich mit dem monatlichen, vierteljährlichen oder jährlichen IT-Budget hilft bei der Wahl des wirtschaftlichsten Anbieters.
Fazit
Patchmanagement ist zweifellos ein wesentlicher Eckpfeiler jeder erfolgreichen Cybersicherheitsstrategie. Es besteht aus mehr als nur dem Installieren von Updates und erfordert auch eine klare Bewertung von Risiken, einen strukturierten Prozess, der sich mit jedem Durchlauf an die IT-Landschaft anpasst, und volle Transparenz, um Fehler zu beheben und Compliance nachzuweisen. Durch die strukturierte Umsetzung von Patchmanagement-Richtlinien, regelmäßige Audits und den Einsatz der für sie geeignetsten Tools können Unternehmen ihre Angriffsfläche reduzieren und ihre digitalen Strukturen besser schützen.
(jp)
André Schindler ist General Manager EMEA bei NinjaOne.