Boorberg Verlag

Patch Management – Sicherheitslücken schließen (I)

29.08.2014 Teil I

Teil I

Sicherheitslücken in installierten Programmen können dazu führen, dass sich Angreifer Zugang zu einem PC verschaffen. Dadurch sind sie in der Lage, Dateien auf dem PC zu speichern, Programmcodes auszuführen oder andere Rechner im Netzwerk zu übernehmen. Im schlimmsten Fall können der Verlust der Daten oder irreparable Systemschäden das Ergebnis sein. Sogenannte Patches helfen dabei, diese Lücken zu schließen.

Definition und Bedeutung

Während Updates ein Programm um neue Funktionen erweitert oder seine Performance verbessern, beheben Patches (von engl. patch = flicken, in der Bedeutung von Nachbesserung) Programmfehler. Denn Sicherheitslücken in Computerprogrammen ermöglichen es Angreifern, Zugriff auf ein System zu erlangen, auf dem eine bestimmte Software installiert ist.

Patches erfordern dabei, anders als die in aller Regel unkritischen Updates, eine schnelle Reaktionszeit. Dies gilt insbesondere für sicherheitsrelevante Patches. Denn die Tatsache, dass ein Patch veröffentlicht wurde, animiert Personen auch dazu, eventuelle Sicherheitslücken gezielt auszunutzen. Dabei machen sich Angreifer den Umstand zunutze, dass mit jedem Patch auch eine Beschreibung herausgegeben wird.

Das Patch-Management wird dazu benutzt, die Verteilung der Patches im System zu vereinfachen. Je nach Größe des Netzwerks kann dies entweder speziell hierfür abgestelltes Personal erfordern oder zumindest einen klar umschriebenen Arbeitsablauf, damit auf eventuelle Sicherheitsbedrohungen schnell reagiert werden kann.

Compliance

Es existieren kaum einheitliche Regelungen für den Arbeitsablauf eines Patch-Managements. Für viele Unternehmen ist das Patch-Management nur ein Aspekt im Gesamtzusammenhang der IT-Sicherheit. Diese wiederum ist gut dokumentiert und wird auch von zahlreichen Unternehmen bereits eingesetzt.

Besonders zu erwähnen ist hier ISO/IEC 27002:2005. Diese Richtlinie regelt die Verwaltung von Informationen zur Sicherung der IT und legt Standards für die umfassende Verwaltung der IT-Sicherheit fest. In ähnlicher Form bietet die „Standard of Good Practice“ des Information Security Forums zahlreiche praxisorientierte Ansätze für die IT-Sicherheit. Auch ISO-Standard 15408:2009, ebenfalls bekannt als „Evaluation Criteria for Information Technology Security“ (Evaluationskriterien für die Sicherheit in der Informationstechnologie) stellt einen Rahmen für die Spezifikation, Implementation und das Testen der Sicherheitsanforderungen zur Verfügung.

In Deutschland gibt das Bundesministerium für Sicherheit und der Informationstechnologie (BSI) Empfehlungen für das Kleinunternehmen heraus, ebenso wie für Großunternehmen[1].

Patch-Management-Strategie

Die Verfügbarkeit neuer Patches sollte gezielt überwacht und vorhandene Patches schnellstmöglich installiert werden. An dieser Stelle kann ein standardisierter und regelmäßiger Patch-Management-Zyklus vieles erleichtern, indem der Zeitaufwand für die Inventarisierung der installierten Software und deren Sicherheitslücken signifikant reduziert und Patches automatisiert installiert werden können. Ein effektiver Plan für das Patch-Management schafft Klarheit über Zuständigkeiten, macht Änderungen nachvollziehbar, bietet eine Rollback-Möglichkeit, sorgt für das sorgfältige Testen und informiert alle Beteiligten über vorgenommene Änderungen.

Patch-Management-Durchlauf:

  1. Inventarisierung
  2. Informationen sammeln
  3. Strategie und Planung
  4. Test
  5. Ablaufplanung und Bewertung
  6. Patch-Verteilung
  7. Verifikation und Berichterstattung

Jeder Schritt des Patchzyklus muss eindeutig definiert und einer Person zugewiesen sein. Abhängig von den Wünschen und Anforderungen können Unternehmen auch verschiedene Schritte zusammenfassen und derselben Person zuteilen oder auch weitere Schritte nach Bedarf einfügen.

Eine Hauptquelle für Patches ist Microsoft, die ihr Windows-Betriebssystem monatlich mit den neuesten Updates und Sicherheitspatches versorgen. Andere Hersteller übernehmen mittlerweile diesen Turnus, wie beispielsweise Adobe. Diese voraussehbaren Patchzyklen laufen immer an einem bestimmten Datum, im Falle von Microsoft und Adobe immer am zweiten Dienstag im Monat.

Patch-Management-Richtlinien

Vor der Planung von durchzuführenden Schritten sind vorher Standards zu definieren. Eine Patch-Management-Richtlinie kann hier bei der Entscheidungsfindung während des Patchzyklus eine Hilfe sein. Insbesondere ist zu klären, welche Strategie zur Anwendung kommt: Sollen verfügbare Patches grundsätzlich immer installiert werden oder wird eine Klassifizierung stattfinden, die vorhandene Patches nach der Schwere der Sicherheitslücke bewerten, welche durch den jeweiligen Patch behoben wird? Werden Patches vorbeugend installiert (um mögliche Sicherheitslücken zu stopfen) oder nach Bedarf (sobald ein Problem erkannt wird) oder eine Kombination aus beidem? Um Zeit zu sparen, sollten so viele allgemeine Regeln wie möglich festgelegt werden.

Um Schwierigkeiten mit dem System- und der Netzwerkauslastung sowie Kompatibilitätsprobleme zu vermeiden, müssen an dieser Stelle bewusste Entscheidungen getroffen werden.

Es sollte im Vorhinein festgelegt werden, welche Programme erlaubt sind und welcher Rechner welche Programme enthält. Das Arbeiten mit White- oder Blacklisten kann die Menge an zu inventarisierender Software reduzieren und damit den Patchprozess deutlich beschleunigen. Dasselbe gilt für Sicherheitseinstellungen, Benutzerkonten und Passwörter.

Schnelle Neuverteilung, Neukonfigurieren von Programmen, Neuinventarisierung von Software sowie Eskalationskanäle sollten fester Bestandteil einer Patch-Management-Richtlinie sein.

 

Ende erster Teil...

Lesen Sie in der nächsten Woche im zweiten Teil des Beitrags, wie Patch-Management gezielt im Unternehmen anzuwenden ist. Dazu hält der Beitrag eine nützliche Checkliste und Praxishinweise bereit.

[1] Siehe zum Beispiel (Großnetzwerk) oder (Kleinbetriebnetzwerk).

 


Siehe auch:
G DATA PatchManagement

Autor: Wagenaar, Abram

Anlass: Steigende Bedrohung und Komplexität durch Schadsoftware

Steigende Komplexität von Computersystemen und Softwarestrukturen bedeutet eine größere Anfälligkeit für Sicherheitslücken. Eine koordinierte Verteilung von Gegenmaßnahmen ist für den Schutz der Systeme unabdingbar. Abhilfe schaffen sogenannte Patch-Management-Systeme, die automatisiert für eine schnelle Verteilung sicherheitsrelevanter Updates sorgen.

Sachbereich: C2 Krisenmanagement/Gefahrenabwehr - Betriebliche Gefahrenabwehr

Schlagwörter: Patch, Patch Management, Cyber-Kriminelle, Updates, Schadsoftware, Hacker, Exploits

Weitere Artikel zu diesem Thema:
Datenklau: 1,2 Milliarden Datensätze erbeutet
 
Moderne Angriffsmethoden auf IT-Systeme
 

-