Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

29.08.2003 - 

Tools helfen bei der Beseitigung von Schwachstellen

Keine Chance für Sobig und Blaster

MÜNCHEN (ave) - Wenn elektronische Würmer wie Blaster, Code Red oder Slammer zuschlagen, ist das nicht nur ärgerlich, sondern auch teuer. Ausfälle von Rechnern ließen sich jedoch vermeiden, wenn Anwender Patches rechtzeitig installieren würden. Entsprechende Tools helfen hierbei.

Untersuchungen des FBI und der Carnegie Mellon University belegen: Über 90 Prozent aller Sicherheitsprobleme in Unternehmen sind auf Schwachstellen innerhalb von Programmen zurückzuführen, für die ein Patch zwar vorhanden, aber nicht installiert war. Im Falle von elektronischen Schädlingen wie SQL-Slammer, Blaster oder Sobig kann das verheerende Folgen haben, schlimmstenfalls komplette Netze lahm legen.

Doch häufig sind die IT-Abteilungen mit dem Verfolgen von Sicherheitswarnungen, dem Herunterladen und Installieren der bereitgestellten Bugfixes überfordert. Das ständige Patchen der vorhandenen Systeme ist arbeits- und zeitintensiv, viele IT-Organisationen schaffen es nicht, angesichts ihrer begrenzten Ressourcen mit dem nicht abreißenden Strom ständig neuer Ergänzungen Schritt zu halten. Erschwerend kommt hinzu, dass Unternehmen bei der hohen Zahl von Schwachstellen auf unterschiedlichen Systemen - schließlich betrifft dieses Thema nicht nur Anwendungen von Microsoft - abwägen müssen, in welchen Bereichen ihnen die meiste Gefahr droht, und dort als erstes Patches einspielen.

Anwender unter Druck

Ein weiteres Problem: Die Reaktionszeit für Unternehmen wird immer kürzer. Vom Bekanntwerden einer Schwachstelle bis zum Auftauchen eines Schadprogramms, das diese ausnutzt, vergeht immer weniger Zeit. Sicherheitsspezialisten wie Symantec sprechen in diesem Zusammenhang von einem Angriffsfenster. Zwischen dem Bekanntwerden der SQL-Sicherheitslücke und dem Auftauchen des Slammer-Wurms vergingen beispielsweise acht Monate - Blaster schlug dagegen schon nach knapp vier Wochen zu. Tom Patterson, Leiter Security Services Europa, Mittlerer Osten und Afrika bei Deloitte & Touche, fordert daher: "Unternehmen müssen Patch-Management zum wesentlichen Bestandteil ihrer Sicherheitspolitik machen."

Aufgrund der hohen Verbreitung von Microsoft-Systemen steht der Anbieter natürlich besonders im Kreuzfeuer der Kritik. Der Hersteller ist sich bewusst, dass die ständigen Patches Anwenderunternehmen viel Zeit und Mühe abverlangen und hat seine Strategie zur Verbesserung der Patch-Problematik in einem White Paper dargelegt. Demnach geht es dem Unternehmen langfristig darum, die Notwendigkeit für Patches überhaupt zu reduzieren, indem es die Anzahl der in neuer Software vorhandenen Schwachstellen gemäß der im Rahmen seiner Trustworthy-Computing-Initiative formulierten Maxime "Secure by Design" auf ein Minimum begrenzt. Werden doch einmal Patches benötigt, müssen diese sich möglichst ohne große Unannehmlichkeiten einsetzen lassen.

Vier Maßnahmen sollen helfen, dieses Ziel zu erreichen. So plant der Hersteller, die Qualität der Patches zu verbessern und ihr Verhalten zu standardisieren. Außerdem will Microsoft effektivere Tools für den Umgang mit Patches bereitstellen und seine Kunden besser informieren. Dazu wurden bereits die Security Bulletins überarbeitet. Zusätzlich zu den sehr technisch gehaltenen Informationen bietet Microsoft inzwischen auch leichter zu verstehende Anweisungen für technisch weniger versierte Anwender. Kunden können sich zudem anmelden, um via E-Mail automatisch über neu entdeckte Schwachstellen und Abhilfen benachrichtigt zu werden.

Einen speziellen Leitfaden zur Optimierung des Patch-Managements stellt Microsoft unter www.microsoft.com/technet/treeview/default.asp?url=/technet/security/topics/patch/secpatch/default.asp bereit, um Anwendern bei konkreten technischen Problemen zu helfen. Laut Microsoft ist es nicht damit getan, bloß Patches anzubieten. Anwender benötigen zudem Werkzeuge, um diese verteilen und auf den vorhandenen Systemen installieren zu können.

Aus diesem Grund hat der Hersteller das kostenlose Tool "Software Update Services" (SUS) entwickelt. Die Kombination aus Client- und Server-Komponenten soll Administratoren automatisch über das Erscheinen neuer Patches auf dem Laufenden halten. Anschließend erhalten sie Unterstützung beim Herunterladen der benötigten Versionen, dem Testen und anschließenden Verteilen auf die betroffenen Rechner. In die gleiche Richtung zielt ein erweitertes Feature Pack für Microsofts "Systems Management Server" (SMS). Patch-Management-Funktionen sollen außerdem feste Bestandteile von SMS 2003 sein, dessen Erscheinen noch für dieses Jahr vorgesehen ist.

Weitere Erleichterungen für Anwender erhofft sich Microsoft von einer sukzessiven Angleichung der Update-, Patch- und Installationsfunktionen sowie der in diesem Zusammenhang verwendeten Bezeichnungen über alle seine verschiedenen Produktgruppen hinweg. Ziel ist es ferner, die Installationstechniken auf zwei - je eine für Betriebssysteme und Applikationen - zu reduzieren. Der Hersteller will Patches zudem mit der Möglichkeit ausstatten, wieder entfernt zu werden, falls ein Anwender dies wünscht. Außerdem gibt es in Redmond Überlegungen, Patches in Zukunft auch ohne explizite Zustimmung des Anwenders automatisch zu installieren. Äußerungen des Konzerns zufolge soll es ab der für 2005 geplanten Windows-Version "Longhorn" nicht mehr möglich sein, das selbständige Installieren von Updates zu unterbinden.

Neben Microsoft haben auch andere Anbieter den Bedarf an Lösungen erkannt, die das Patch-Management vereinfachen. Altiris zum Beispiel bietet Anwendern mit "Patch Management Solution 5.6" ein Tool, das Systeme nicht nur auf Schwachstellen analysiert und Patches dagegen verteilen hilft, sondern ein damit zusammenhängendes, großes Problem lösen soll: Funktioniert ein System nach Aufspielen eines Software-Fixes schlechter als vorher oder sogar überhaupt nicht mehr, lässt sich die Aktion umkehren und der vorherige Zustand wiederherstellen. Die Software gibt es als kostenlosen Zusatz zur "Client Management Suite" und "Server Provisioning Suite" von Altiris. Die für das vierte Quartal geplante Version 6.0 des Tools soll auch Unix- und Linux-Umgebungen unterstützen.

Tipps vom Experten

"Enterprise Suite" von Bigfix, "Service Pack Manager 2000" von Gravity Storm, "Patchlink Update" von Patchlink, "Patch Manager" von Ecora Software sowie "HfNetChk Pro" von Shavlik Technologies sind weitere Lösungen, auf die Administratoren im Kampf gegen das Patch-Chaos zurückgreifen können. Ecora bietet seinen Patch Manager derzeit sogar in einer kostenlosen Version an, mit der Unternehmen 25 kritische Systeme auf Schwachstellen überprüfen und patchen lassen können. Sie kann im Internet unter www.ecora.com/ecora/jump/worm1.asp heruntergeladen werden.

Alex Bakman, Gründer und CEO von Ecora, gibt IT-Spezialisten einige Ratschläge für ein effektives Patch-Management: Als Erstes empfiehlt er den Einsatz eines automatisierten Systems, das das Personal von zeitraubenden Routinearbeiten entlastet. Zudem ist es seiner Meinung nach wichtig, nach einem Plan vorzugehen. Dazu gehört beispielsweise auch, Systeme nach der Zugehörigkeit zu bestimmten Arbeitsgruppen oder Standorten zusammenzufassen, und Patches gezielt zu verteilen.

Mit Würmern patchen?

Sein nächster Tipp lautet, Patches vor der Installation unbedingt zu testen. Dazu ist es wichtig, alle im Unternehmen vorhandenen Konfigurationen zu kennen. "Schon eine kleine Abweichung zwischen einem aktiven Rechner und dem Test-Server kann Riesenprobleme verursachen", weiß der Experte. Zuletzt empfiehlt Bakman, gewisse Patch-Levels einzuhalten. Einmal wöchentlich sollten alle Systeme gescannt und notwendige Patches aufgespielt werden. Das trage wesentlich dazu bei, die Sicherheit und Stabilität der IT-Infrastruktur zu erhöhen.

Auch in Zukunft müssen Unternehmen mit Bedrohungen durch Würmer wie Blaster oder Slammer rechnen. Doch möglicherweise lassen sich die von den Schädlingen benutzten Techniken auch für einen guten Zweck nutzen: "Es gibt Ansätze, Würmer als ein Mittel einzusetzen, um Systeme zu patchen", erzählt Deloitte-Mann Patterson. Der Experte kann sich vorstellen, dass es in nicht allzu ferner Zukunft möglich sein wird, eine Art "Patch-Wurm" zu kaufen, den Unternehmen in ihrem Netz einsetzen können, damit er gefährdete Systeme aufspürt und dort gezielt Schwachstellen beseitigt. "Solche Techniken werden das Patch-Management erheblich vereinfachen."

Dass dies keine Zukunftsmusik ist, zeigt der Blaster-Nachfolger "Nachi". Dieser Wurm nutzt die gleiche Schwäche aus wie sein Vorgänger, entfernt diesen jedoch von damit infizierten Systemen. Außerdem lädt er den Microsoft-Patch herunter und installiert ihn auf dem jeweiligen Rechner.

Weitere Informationen finden Sie unter http://www.cowo.de/index.cfm?pageid=255.