Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.


26.04.2005

Patch-Management vermeidet Flickwerk

Ergün Kocatürk
Patchen heißt mehr als Updates im Unternehmen verteilen. Tools helfen Administratoren dabei, ihre Software aktuell zu halten und Sicherheitslücken schnell zu schließen.

Komplexe IT-Infrastrukturen umfassen Hunderte oder Tausende von Desktops, Notebooks oder PDAs sowie viele Server und Applikationen. Zudem sind in den meisten Unternehmen - oft auch noch an verschiedenen Standorten oder Niederlassungen - viele Versionen von Betriebssystemen und Anwendungssoftware im Einsatz. Hinzu kommt, dass einzelne Systeme unterschiedlich konfiguriert sind. Damit wird das Patch-Management für IT-Administratoren zur echten Herausforderung. Zumal es mit dem bloßen Aufspielen von Updates und Service Packs nicht getan ist: Patch-Management ist wesentlich umfassender und beinhaltet zum Beispiel auch Konfliktanalyse, Tests sowie das Verwalten bereits installierter Patches.

Werden diese Aufgaben in einem Unternehmen manuell erledigt, stoßen die IT-Admini- stratoren rasch an ihre Grenzen. Insbesondere, da es meist schnell gehen muss, etwa wenn es neue Schwachstellen in Sicherheitsprodukten zu beheben gilt. Deshalb setzen Anwender verstärkt auf Softwarelösungen für das Patch-Management. An Bedeutung gewinnen dabei regelgestützt arbeitende Lösungen, die sämtliche Abläufe automatisieren.

Mehr Stabilität ins System

Immer kürzere Produktzyklen und der Zwang, neue Produkte schnell auf den Markt zu bringen, haben in den letzten Jahren häufig zu fehlerhaften Programmen geführt. Solche Schwachstellen in ihrer IT-Infrastruktur können sich Unternehmen jedoch nicht leisten. Da die IT zunehmend mit den Geschäftsprozessen verzahnt ist, wirken sich Störungen oder Ausfälle der Infrastruktur unmittelbar auf den wirtschaftlichen Erfolg einer Firma aus. Schwachstellen müssen daher schnellstmöglich erkannt und beseitigt werden.

Sicherheitslücken schließen

Vor allem bei Sicherheitssoftware wird es kritisch, wenn Fehler auftreten oder aktuelle Patches nicht installiert sind. Elektronische Schädlinge wie beispielsweise Würmer nutzen in der Regel bekannte Schwachstellen, um sich im System festzusetzen. Bei rund 90 Prozent aller erfolgreichen Attacken verschaffen sich die Angreifer Zugang auf Firmennetze, indem sie hinlänglich bekannte Sicherheitslücken ausnutzen, für die oft bereits Patches zur Verfügung stehen.

Ein unzureichender Schutz vor Viren, Würmern oder Angriffen von Hackern kann fatale Folgen haben: So schätzt zum Beispiel CNET News, dass der Wurm "SQL Slammer" bereits innerhalb der ersten Tage weltweit einen Produktivitätsausfall in Höhe von 950 Millionen bis 1,2 Milliarden Dollar zur Folge hatte. Viele Unternehmen wissen zwar, dass Sicherheitslücken erheblichen wirtschaftlichen Schaden verursachen können, die nötigen Schutzmaßnahmen werden aber trotzdem nicht immer und vor allem selten rechtzeitig ergriffen. Dabei ließen sich laut Computer Emergency Response Team (Cert) durch aktives Patch-Management 95 Prozent aller Sicherheitslücken schließen.

Weiteres Gefahrenpotenzial entsteht durch neue Technologien. So wurde zum Beispiel laut Gartner im Jahr 2004 die Mehrheit der Firmen-Notebooks mit WLAN-Anschlüssen ausgestattet. Diese Übertragungstechnik schafft zusätzliche Sicherheitsrisiken. Daneben entstehen auch durch Web-Services neue Angriffsflächen für die Tools von Hackern.

Eine schnelle Verteilung von Software-Updates wird jedoch allein schon aufgrund der hohen Anzahl von Patches und Service Packs, die von den verschiedenen Hersteller bereitgestellt werden, nahezu unmöglich gemacht. Dies gilt auf jeden Fall, wenn Unternehmen auf die Turnschuh-Administration zurückgreifen und neue Softwareflicken jeweils manuell installieren. Auf diese Weise nehmen Installationen oft Tage oder sogar Wochen in Anspruch. Automatisierte Lösungen sind deutlich schneller.

In größeren Umgebungen mit mehreren tausend Geräten sprengt eine manuelle Vorgehensweise jedoch nicht nur den personellen, sondern auch den finanziellen Rahmen. Da umfassendes Patch-Management in vielen Unternehmen mit den begrenzten IT-Budgets nicht zu leisten ist, nehmen sie ein gewisses Sicherheitsrisiko bewusst in Kauf. Das Problem dabei: Was heute noch als akzeptables Risiko eingestuft wird, kann relativ schnell fatale Folgen haben, wenn zum Beispiel aufgrund von Systemausfällen Umsätze nicht realisiert oder Service-Levels nicht eingehalten werden können.

Automatisierung senkt Kosten

Stabile IT-Infrastukturen und überschaubare Sicherheitsrisiken sind nur mit einer effizienten Softwarelösung zu erreichen. Ein solches Tool wirkt sich auch positiv auf die IT-Kosten aus, denn eine automatisierte Lösung für das Patch-Management reduziert unter anderem die Anrufe beim Helpdesk.

Für ein hohes Maß an Effizienz sorgt dabei eine modellge- steuerte Verwaltung von Software-Updates. Dazu wird für sämtliche Zielgeräte ein Soll-Zustand definiert. Mit ihm wird beim Aufspielen neuer Patches der Ist- mit dem Soll-Zustand abgeglichen. Werden Abweichungen festgestellt, nimmt die Software automatisch durch entsprechende Updates eine Anpassung vor.

Eine Software für das Patch-Management hat viele Aufgaben zu erfüllen. Vor allem muss sie Updates automatisch prüfen und gegebenenfalls reparie- ren. Die Verteilung der Patches sollte Policy-gesteuert erfolgen, und es muss möglich sein, Kriterien und Filter zu definieren. Regeln lassen sich beispielsweise für einzelne Anwender oder Gruppen sowie für verschie- dene Klassen von Geräten aufstellen. Wichtig ist zudem, dass sämtliche Prozesse des Patch-Managements - vom Herunterladen über das Testen, die Zuteilung auf die Zielgeräte, die Installation und die Inventarisierung (Inventory) bis zum Löschen älterer und nicht mehr gebrauchter Patches - automatisch ablaufen.

Zentrale Steuerung

Die Arbeit der Administratoren wird zusätzlich dadurch erleichtert, dass die gesamte Infrastruktur mit verschiedenen Betriebssystemen wie zum Beispiel Windows, Unix oder Linux und Geräten unterschiedlicher Hersteller sowie sämtlichen Netzkonfigurationen über eine zentrale Management-Oberfläche zu verwalten ist. Die Geräte mobiler Mitarbeiter müssen ebenfalls in das Patch-Management einbezogen werden. Dabei benötigen sie denselben Level automatisierter Services wie die Rechner, die über ein WAN oder LAN auf Unternehmensdaten zugreifen. Ferner sind die Systeme in Niederlassungen oder Zweigstellen bei Abgleichen mit dem Zielzustand zu berücksichtigen, um gegebenenfalls aktuelle Patches automatisch aufzuspielen.

Entscheidend sind darüber hinaus Funktionen für das Erkennen potenzieller Konflikte zwischen neuen Patches und bereits installierten Service Packs, Updates, Konfigurationen und Anwendungen. Sinnvoll ist außerdem, wenn sich die Software für das Patch-Management in Verzeichnisdienste integrieren lässt, eine anwenderfreundliche Bedienung über Browser bietet sowie das Erstellen von Berichten erlaubt. Unabhängig davon, für welche Patch-Verwaltungslösung sich ein Unternehmen letztlich entscheidet: Wichtig ist, dass sie sich in möglicherweise vorhandene Management-Software integrieren lässt.

Mehrere Phasen wichtig

Richtig effizient wird Patch-Management erst, wenn es mehr kann als nur neue Updates aufzuspielen. Der vollständige Zyklus beginnt mit dem Auffinden neuer Patches (Patch Acquisition). Danach wird ermittelt, welche Anwendungen auf welchen Systemen und Geräten installiert sind (Patch Discovery). Weitere Schritte sind Konfliktprüfung, Tests, Installation, Verifizierung und Kontrolle.

Sobald neue Patches verfügbar sind, werden sie in Form von XML-Dateien ausgewertet und in einer Datenbank abgespeichert. Bereits in dieser Phase kann die Analyse der einzelnen Komponenten der Patches und die Untersuchung auf mögliche Unverträglichkeiten erfolgen. Voraussetzung für eine möglichst exakte Konfliktanalyse ist, dass jeder Patch in einzelne Komponenten zerlegt wird und die Prüfung auf dieser detaillierten Ebene stattfindet. Entsprechend formulierte Policies verhindern, dass nicht kompatible Patches installiert werden. Die Gruppierung kompatibler Patches hingegen sorgt für eine schnellere Verteilung.

Anschließend werden die Zielgeräte auf Schwachstellen überprüft. Die Software stellt dazu automatisch fest, welche Betriebssysteme, Anwendungen und Patches auf den einzelnen Rechnern installiert sind. Mit Hilfe von Testfällen (Probes) der jeweiligen Hersteller wird ermittelt, welche Updates bereits vorhanden sind, welche fehlen beziehungsweise falsch installiert sind. Die Ergebnisse der Probes werden in einer zentralen Reporting-Datenbank gespeichert, erst dann erfolgt das Herunterladen der tatsächlich benötigten Patches von den Websites der Hersteller. Zusätzlich verifiziert die Software, ob korrupte oder unvollständig installierte Updates vorhanden sind, und beseitigt diese.

Schwachstellenanalyse

Nachdem der Status der neuen Patches in der Datenbank abgespeichert ist, erfolgt die Schwachstellenanalyse. Basis hierfür sind State Files, die beim Herunterladen der Patches in die Datenbank erstellt werden. Jedes einzelne Gerät wird damit abgeglichen, um die von ihm benötigten Updates herauszufinden. Dabei wird auch die Struktur der Patches ausgelesen, außerdem wird analysiert, ob im Zusammenspiel mit den bereits installierten Patches, Anwendungen und Betriebssystemen Konflikte entstehen könnten. So sind IT-Administratoren in der Lage, potenzielle Probleme zu identifizieren und zu beheben, bevor ein Patch im ganzen Unternehmen installiert ist. Dies macht die IT-Infrastruktur stabiler und trägt zur Ausfallsicherheit bei.

Auf Herz und Nieren testen

In den vorherigen Phasen wurden Informationen gesammelt - zu den Patch-Komponenten, zum Software-Inventory, zur Verwendung der Patches sowie zu Überschneidungen und potenziellen Konflikten mit anderen Komponenten. Dadurch wird das Testen der neuen Patches vor der Installation deutlich verbessert und damit ein höheres Maß an Qualitätssicherung erzielt. Administratoren können dabei jeweils die Geräte als Testumgebung auswählen, auf denen die von den Patches am stärksten betroffenen Applikationen laufen. Dies gewährleistet eine umfassende Kontrolle bereits während der Tests.

Die eigentliche Installation der Patches sollte regelbasierend erfolgen: Nur die Zielgeräte erhalten benötigte Updates, für die das in den Policies definiert ist. Alle für das Updaten erforderlichen Aktionen sollten nach Möglichkeit automatisiert ab- laufen, inklusive des Neustarts der Clients, des Ausloggens der Anwender, der Bandbreiten- optimierung sowie der Patch-Synchronisierung. Anhand eigener Regeln ist dafür zu sorgen, dass Patches nicht sofort nach dem Herunterladen, sondern erst nach den notwendigen Analysen und Tests installiert werden.

Vor allem in großen Unternehmen spielt das Thema Skalierbarkeit eine wichtige Rolle. Eine Software für das Patch-Management sollte es beispielsweise auch ermöglichen, großvolumige Patches auf verschiedenen Proxy-Servern (Depot-Servern) im Netzwerk bereitzustellen. So lassen sich die Updates nicht nur schneller aufspielen, sondern auch genau dort, wo sie benötigt werden. Um eine erfolgreiche Installation sicherzustellen, wird dabei der Patch-Status mit Hilfe der in den vorangegangen Phasen gesammelten Informationen verifiziert.

Alle Patches unter Kontrolle

Das Patch-Management sollte über die reine Installation von Patches hinausgehen. Um das versehentliche Löschen oder die Korruption von Patches zu verhindern, sind sämtliche Geräte kontinuierlich daraufhin zu untersuchen, ob sie in Einklang mit den definierten Policies stehen, so dass gegebenenfalls ein Abgleich mit dem Zielsystem erfolgen kann. Auf diese Weise lassen sich Kosten für die Diagnose und Reparatur von Fehlern reduzieren, außerdem macht dies die Infrastruktur stabiler. (ave)