Kaspersky, Lumension, Symantec, VMware

Vier Patch-Management-Lösungen im Test

14.01.2014 von Markus Selinger

Für die bestmögliche Sicherheit im Unternehmen sollte das Patch-Management eine hohe Priorität haben. Ein Test der Patch-Management-Pakete Kaspersky Security Center, Lumension Endpoint Management and Security Suite, Symantec Altiris Patch Management Solution und VMware vCenter Protect zeigt, ob sich deren Einsatz für das Unternehmen in punco Sicherheit lohnt.

Ein geregeltes Patch-Management sorgt nicht nur für gut arbeitende Software, indem es sie auf dem neuesten Stand hält. Vielmehr wird die Sicherheit auf Clients und Servern erhöht, da Patches Schwachstellen in der eingesetzten Software schließen.

Die Lösungen sollen dabei vorhandene Betriebssysteme und Softwareinstallationen automatisch mit den Datenbanken des jeweiligen Anbieters abgleichen und die Updates auslösen.

In der Praxis kommt es aber darauf an, wie schnell Updates eingespielt werden, ob alle laufenden Applikationen erkannt und die Updates fehlerfrei ausgeführt werden. Denn jeder hängende Client oder Server ist unter dem Strich mehr Belastung als Hilfe.

Patch-Management-Testergebnisse
Im Gesamtergebnis kann die Lösung von Kaspersky Lab einen Vorsprung nach Prozenten für sich verbuchen. Sehr positiv ist auch der Umfang der unterstützten Applikationen.

Patch-Management-Testergebnisse
Anzahl der unterstützten Applikationen im Patch-Management: Mit knapp 230 Applikationen ist das Programm-Portfolio der Kaspersky-Lab-Lösung am größten. Lumension kennt nicht einmal 90 Programme.

Patch-Management-Testergebnisse
Durchschnittlich gemessene Dauer für Updates in Tagen: Während die Lösungen von Kaspersky Lab und VMware vier Tage für das Update benötigen, braucht Symantec fünf und Lumension fast 12.

Patch-Management-Testergebnisse
Live-Update der Clients unter Störeinflüssen: Sobald dringende Updates bei Clients im Arbeitsbetrieb erfolgen müssen, haben viele Lösungen Probleme. Laufende Installationen, offene Browser, keine Internet-Verbindung oder zu patchende Applikationen, die gerade laufen, verhindern bei Lumension, VMware und Symantec erfolgreiche Patch-Installationen.

Patch-Management-Testergebnisse
Update von Software mit eingestellten Fremdsprachen: Für ein Update muss die Patch-Lösung auch die in der Applikation eingestellte Sprache erkennen. Die Lösung von Lumension kennt fast keine Fremdsprachen. Symantec und VMware spielten zwar Patches ein, aber viele Programme hatten danach eine geänderte Spracheinstellung.

Kaspersky
Kaspersky Security Center 10.1

Lumension
Lumension Endpoint Management and Security Suite 7.3

Symantec
Symantec Altiris Patch Management Solution 7.1

VNware
VMware vCenter Protect 8.0

Das Testfeld

Den Test der Patch-Management-Lösungen hat die Firma Kaspersky Lab bei dem unabhängigen Magdeburger Antivirentestlabor AV-Test in Auftrag gegeben. Dabei wurde nur der Testumfang von Kaspersky Lab vorgegeben, die finalen Testmethoden hingegen hat AV-Test selbst festgelegt und den Test auch im eigenen Labor durchgeführt. Die Ergebnisse der Produkte von Kaspersky Lab, Lumension, VMware und Symantec wurden ohne Einflussnahme von Kaspersky Lab veröffentlicht.

Getestet wurden folgende Produkte:

Kaspersky Security Center 10.1

Lumension Endpoint Management and Security Suite 7.3

Symantec Altiris Patch Management Solution 7.1

VMware vCenter Protect 8.0

Den Testbericht aus dem Labor mit der Nennung aller einzelnen Testparameter und der Liste der geprüften Applikationen können Sie auf der AV-Test-Webseite in englischer Sprache nachlesen.

Die bewerteten Funktionen

Die Tester haben sich die elf wichtigsten Funktionen der Softwarelösungen herausgegriffen und miteinander verglichen:

1. Die Zahl der unterstützten Applikationen

2. Die Erkennung der installierten Programme

3. Die Reaktionsrate zum Einspielen neuer Patches

4. Den Sprachsupport der installierten Anwendungen

5. Die Qualität und den Ablauf der Patch-Installation

6. Das Verhalten bei Installationsproblemen

7. Das Deaktivieren von unerwünschten Add-ons

8. Kontrolle der Auto-Update-Konfiguration von Software

9. Den Einsatz des Microsoft-Update-Supports (WSUS)

10. Die Steuerung des Server- oder Client-Neustarts

11. Den Umgang mit Nutzerlizenzen bei Updates

Welche IT-Security-Hersteller den deutschen Markt dominieren, Quelle: ama, 2011 -

AV-Installationen in deutschen Firmen, Marktanteile; Quelle: ama, 2011

Wer hat gewonnnen, wer verloren? Quelle: ama, 2011

AV-Installationen in deutschen Firmen, je nach Kundengröße; Quelle: ama, 2011

Die Hürden im Test

Schwachstellen im Betriebssystem lassen sich bei Microsoft-Systemen mit Hilfe der Microsoft-Datenbank WSUS relativ schnell schließen, sofern die Patch-Lösung darüber Bescheid weiß und den Service nutzt. Bei anderen Betriebssystemen wie Mac-OS X, Red-Hat- oder SUSE-Linux sind die Datenbanken der Lösungs-Anbieter gefragt.

Weiterhin ist die Menge der von Firmen eingesetzten Applikationen fast unbegrenzt. Die Patch-Management-Lösungen mussten im Test über 290 Programme und Betriebssysteme erkennen und unterstützen. Diese Summe ergab sich aus den Angaben aller unterstützten Applikationen der vier Lösungen.

An dieser Stelle zeigte die Lösung von Kaspersky mit über 78 Prozent den besten Wert. Die Lösung von VMware folgte mit 65 Prozent, Symantec mit 48 und Lumension mit knapp 27 Prozent. Nur Kaspersky und Lumension erkannten alle Betriebssysteme zu 100 Prozent.

Wer erkennt die Software?

Im Weiteren wurde geprüft, ob die Lösungen die 60 populärsten Applikationen erkennen und updaten. Mit vertreten: Browser wie Firefox, Chrome, Safari oder Opera, Mailclients wie Thunderbird oder Packer wie Winrar und 7-Zip.

Das Ergebnis: Die Lösungen von VMware und Symantec kennen zwar die meisten Programme, lesen aber mehrfach die Versionsnummer falsch oder gar nicht aus. Kaspersky kennt zwar etwas weniger Applikationen als VMware und Symantec, aktualisiert sie aber dafür korrekt. Lumension arbeitet sauber, kennt aber im Vergleich zu den anderen Lösungen nur etwa die Hälfte der Programme. Populäre Tools wie Chrome, Opera, Safari, Thunderbird oder Winrar kennt die Lösung gar nicht.

Netzwerk-Security-Anbieter zu 2012 -

"Ein modernes Security Gateway ist mehr als nur eine Firewall." Christine Schönig, Technical Managerin bei Check Point Software Technologies

"Neue Anwendungen und Geschäftsprozesse werden die künftige IT-Security entscheidend prägen." Jörg von der Heydt, Channel & Marketing Manager Germany bei Fortinet

"Sicherheitsrichtlinien müssen durchgesetzt werden." Kai Hollensett, Senior Director Channel Sales D-A-CH bei Juniper Networks

"Netzwerk-Security ist ein Top-Thema." Sven Janssen, Country Manager Germany bei SonicWall

"Die Grenzen zwischen den Firewall-Märkten für Großkunden und Mittelständler verschwimmen." Dennis Monner, Vorstandsvorsitzender der gateProtect AG

"Nicht nur der Funktionsumfang, sondern auch die Tiefe der Sicherheitstechnologie nehmen bei UTM-Produkten stetig zu." Michael Haas, Regional Sales Manager Central Europe bei WatchGuard Technologies

"Was benötigt wird, ist die Lösung aus einer Hand." Markus Henning, Netzwerk-Security-CTO bei Sophos

"Neue Gefahren entstehen im Web-2.0-Umfeld, durch Cloud und Mobile Computing." Jörg Kurowski, Zentraleuropa-Chef bei Check Point

"Angesichts der Komplexität und der Anzahl von Attacken ist ein spezialisierter, aber auch anpassungsfähiger Schutz notwendig." Anthony Perridge, Channel Director bei Sourcefire

"IT-Sicherheit ist ein sehr gutes Geschäftsfeld für Systemintegratoren." Jan Hichert, General Manager Network Security von Sophos

"KMUs suchen nach zuverlässiger, einfach einzusetzender und kosteneffizienter Sicherheit." Thomas Mammitzsch, Regional Director Commercial Central Europe bei Netgear

"IT-Securuity ganzgheitlich konzipieren!", Robert Jung, Westcon Security

"UTMs haben viel versprochen und wenig gehalten." Patrick Kuttruff, Senior Sales Engineer bei Websense

Falsche Sprache wird passend gemacht

Ist eine Applikation nicht in der Systemsprache installiert, dann verweigern einige Lösungen die volle Unterstützung. Vor allem Lumension kennt lediglich zwei zusätzliche Sprachen. Von 14 getesteten Sprachen kennen Symantec und Kaspersky Lab 12, VMware sogar 13 Sprachen. VMware und Symantec leisten sich aber Ausrutscher: sie bringen zwar sechs beziehungsweise sieben Programme auf den neuesten Stand, ändern dabei aber die zuvor eingestellte Sprache.

Wie schnell wird gepatcht?

Sobald eine Applikation eine Schwachstelle meldet, wird damit auch zeitnah ein Patch veröffentlicht. Im Test reagierten die Lösungen von VMware und Kaspersky Lab im Schnitt nach vier Tagen, Symantec nach fünf. Lumension benötigte fast 12 Tage.

Was passiert, wenn das Update schief läuft?

Der wichtigste Punkt ist das Patchen selbst. Denn jede Update-Installation, die scheitert, mit Fehlern endet oder im schlimmsten Fall in einer Endlosschleife landet, muss der Administrator von Hand erledigen.

Im Test mussten die Lösungen aus dem Testpool an Applikationen nur diejenigen updaten, die sie auch kennen. Diese Qualität wurde festgehalten. VMware und Symantec unterstützten jeweils 63 Programme, patchten sie aber nur zu 97 beziehungsweise 87 Prozent. Bei Symantec streikten nach dem Update acht Programme, bei VMware eines. Die Patch-Lösung von Kaspersky Lab unterstützt nur 51 Programme, patcht diese aber alle fehlerfrei. Lumension erreichte mit fast 97 Prozent Verlässlichkeit zwar einen hohen Wert, das aber mit nur 27 Applikationen.

Stolpersteine bei Updates

Wenn ein Update auf den Clients keinen Aufschub duldet, kollidieren einige Lösungen gerne mit bestimmten Systemsituationen wie laufenden Installationen, offenen Browsern, fehlender Internet-Verbindung oder dem Umstand, dass die zu patchende Applikation gerade läuft. Im Test wurde dies nachgestellt.

Bei den von den Patch-Management-Paketen unterstützten Applikationen konnten nur Kaspersky Lab und Lumension punkten. Letztere Lösung hatte nur drei Mal ein Problem, weil die zu patchende Software gerade lief. VMware und Symantec hatten in allen Störszenarien ihre Probleme. Besonders offene Browser und zu patchende Software, die gerade lief, machten den Lösungen zu schaffen.

Sicherheitslücken durch Add-ons

Während eines Updates versuchen einige Applikationen Toolbars oder Optimierungs-Tools mit zu installieren. Auf diese Weise werden neue Sicherheitslücken geschaffen. Daher muss die Add-on-Installation verhindert werden. Im Test schlüpften sowohl Symantec als auch VMware einzelne Add-ons ins Update. Nur Lumension und Kaspersky Lab blieben fehlerfrei.

Auto-Updates können querschießen

Viele Applikationen wissen über ihre permanente Anfälligkeit für Sicherheitslücken Bescheid - ganz vorne ist da etwa der Adobe Reader. Daher bringt er auch ein Auto-Update mit. Die Patch-Management-Lösung sollte die Auto-Update-Funktion der Applikationen deaktivieren können. Nur Lumension, Kaspersky Lab und VMware bringen dies von Haus aus als Option mit. Die Lösungen von Lumension und VMware unterstützen allerdings nur wenige Applikationen direkt. Zumindest VMware bietet daher auch zusätzlich die Lösung via Scriptsteuerung an.

Nutzer von Symantec müssen den ganzen Ablauf der Auto-Updates per vorhandener Scriptsteuerung verhindern.

22 Tools für mehr Sicherheit am PC -

20 Tools für mehr Sicherheit am PC
Hat ein Virus Ihren Rechner infiziert und Ihr Antiviren-Tool mundtot gemacht? Mit einem Zweit-Scanner überprüfen Sie den Sicherheitsstatus Ihres Computers.

Avira Bootsektor-Repairtool
Spezialtool, das Bootsektor nach Viren durchleuchtet. Bootsektor-Viren verursachen oft Probleme beim Hochfahren und führen zu einem instabilem Rechner.

The Cleaner 9
The Cleaner 9 spürt für Sie Schädlinge aller Art auf, die dann auch noch komfortabel entfernt werden können.

Kaspersky Security Scan
Kaspersky Security Scan untersucht Ihren Computer nach Schädlingen jeder Art. Egal ob Viren, Malware oder Trojaner, Kaspersky Security Scan verspricht alle schädlichen Inhalte aufzuspüren.

Zonealarm Firewall
Wenn Sie kein Komplett-Paket mit integrierter Firewall nutzen und der Windows-Firewall nicht trauen, sollten Sie ein Programm wie Zonealarm Firewall Free installieren.

F-Secure Online Scanner
Der F-Secure Online Scanner ist ein kleines kostenloses Sicherheits-Tool, welches Ihren PC nach Schädlingen durchsucht und entfernt. Lobenswert: Sie müssen diesen Scanner nicht installieren.

Malwarebytes Anti-Malware
Malwarebytes Anti-Malware durchsucht Ihren PC gezielt nach bösartiger Software wie Spyware, Trojaner und Viren, um diese dann zu entfernen.

McAfee AVERT Stinger
McAfee Avert Stinger können Sie immer dann einsetzen, wenn schon eine Vireninfektion Ihres Rechners vorliegt und Sie schnell Ihr System überprüfen möchten.

Avira AntiVir Removal Tool
Viren-Entferner haben sich auf die Säuberung nach der Infektion spezialisiert. Das Antivir Removal-Tool räuchert Würmer aus.

Windows-Tool zum Entfernen bösartiger Software
Anti-Malware-Tool von Microsoft, dass bösartige Software aufspürt.

Trojan Remover
Trojan Remover sucht nach eingedrungenen Schädlingen und befreit ihren Rechner von Würmern, Trojanern, Ad- und Spyware.

Avira AntiVir Rescue System 2014
Wenn Ihr System gar nicht mehr gestartet werden kann, hilft vielleicht eine Rettungs-Disc weiter.

F-Secure Rescue CD
F-Secure Rescue CD kann ein durch Malware beschädigtes System nach Viren durchsuchen. Potenzielle Bedrohungen werden in Quarantäne verschoben.

AVG Rescue CD
Auch die AVG Rescue CD hilft Ihrem Rechner wieder auf die Beine, wenn dieser durch starken Virenbefall nicht mehr starten will.

Sophos Anti-Rootkit
Sophos Anti-Rootkit hilft Ihnen versteckte Rootkits zu entdecken.

Trojancheck
Das Abwehr-Tool Trojancheck findet Trojaner auf Ihrem PC. Dazu überwacht die Software die neuralgischen Angriffspunkte Registry, Windows-Autostart-Einstellungen und offene Ports.

TrojanHunter
TrojanHunter überprüft Ihren Rechner auf eingeschleuste Trojaner und beseitigt die Schädlinge. Dabei erkennt das Programm auch veränderte Trojaner.

AppRemover
Kein zweites Antiviren-Programm - aber ein Programm, dass Ihr erstes Virenprogramm restlos entfernen soll, wenn Sie wechseln wollen.

ClamWin Free Antivirus
Der Open-Source Virenscanner ClamWin überprüft Ihren Rechner auf Computerviren und andere Schädlinge, wobei er sich auf eine Update-fähige Datenbank stützt.

Microsoft Malware Prevention Troubleshooter
Microsofts Malware Prevention Troubleshooter durchleuchtet Ihren Computer. Das Tool sucht nach fehlerhaften Systemkonfigurationen und Sicherheits-Problemen. Zudem werden Sicherheits-Einstellungen verändert, sodass Ihr System präventiv gegen Schadsoftware-Befall geschützt sein soll.

Ashampoo Anti Virus 2014
shampoo Anti-Virus 2014 schützt Sie per Echtzeitschutz und zwei Scan-Engines vor Viren, Spyware und Trojanern. Ashampoo verspricht außerdem, dass Ihr PC nicht ausgebremst wird.

Nutzerlizenzen sollten einsehbar sein

Bei jeder Installation von Software sollte der Administrator zumindest die Möglichkeit haben, die Nutzungsbedingungen zu lesen und bei Bedarf abzulehnen. Nur die Lösungen von Lumension und Kaspersky Lab bieten einem Admin diese Möglichkeit. Symantec und VMware verzichten darauf.

Integration des Update-Support von Microsoft

Microsoft bietet für Updates den Windows Software Update Service, kurz WSUS an. Während Kaspersky Lab diesen Service in seine Lösung eingebunden hat und steuert, verzichten alle anderen Lösungen auf eine Anbindung.

Gute Steuerung der Neustarts

Im Test wurde auch das Verhalten nach den Updates registriert. Musste ein Neustart des Systems eingeleitet werden, so wurden die Nutzer des Client- oder Server-Systems gut informiert und die Systeme verlässlich neu gestartet. Es ließen sich sogar Neustarts verschieben oder zeitlich neu planen. In diesem Punkt waren alle Lösungen gleich verlässlich und umgänglich.

Fazit: Patch-Management sichert Systeme und entlastet Admins

Auch wenn die Zahlen der einzelnen Testabschnitte es nicht direkt erkennen lassen: Jede der getesteten Patch-Management-Lösungen kann für mehr Sicherheit bei Clients oder Servern sorgen. Zudem werden sie ständig überarbeitet und verbessert.

Unter dem Strich arbeitet von den gertesteten Probanden die Lösung Kaspersky Security Center im Vergleich zu den Paketen Lumension Endpoint Management and Security Suite, Symantec Altiris Patch Management Solution und VMware vCenter Protect am verlässlichsten. Die hohe Zahl an unterstützten Applikationen und vor allem das meist fehlerfreie automatische Update können den Administrator massiv entlasten und die Sicherheit hoch halten. (hal)

Die besten Systemhäuser - IT-Sicherheit -

Die besten Systemhäuser 2013 - IT-Sicherheit

Die besten Systemhäuser 2013 - Gesamt-Ranking IT-Sicherheit

Platz 5: ACP Holding
Einzelnoten:<br> o Angebot und Beratung im Vorfeld - Note: 1,41 <br> o Projektverlauf - Note: 1,36 <br> o Termintreue - Note: 1,68 <br> o Preis Leistung - Note: 1,86<br> o Betreuung im Nachfeld - Note: 1,64<br> o Gesamturteil - Note: 1,45 <br><br> <b> Endnote: 1,56</b>

Platz 4: IT-Haus
Einzelnoten:<br> o Angebot und Beratung im Vorfeld - Note: 1,33 <br> o Projektverlauf - Note: 1,35 <br> o Termintreue - Note: 1,42 <br> o Preis Leistung - Note: 1,38<br> o Betreuung im Nachfeld - Note: 1,41<br> o Gesamturteil - Note: 1,31 <br><br> <b> Endnote: 1,36</b>

Platz 3: Profi Engineering
Einzelnoten:<br> o Angebot und Beratung im Vorfeld - Note: 1,5 <br> o Projektverlauf - Note: 1,21 <br> o Termintreue - Note: 1,36 <br> o Preis Leistung - Note: 1,36<br> o Betreuung im Nachfeld - Note: 1,36<br> o Gesamturteil - Note: 1,29 <br><br> <b> Endnote: 1,34</b>

Platz 2: SVA System vertrieb Alexander
Einzelnoten:<br> o Angebot und Beratung im Vorfeld - Note: 1,07 <br> o Projektverlauf - Note: 1,33 <br> o Termintreue - Note: 1,2 <br> o Preis Leistung - Note: 1,6<br> o Betreuung im Nachfeld - Note: 1,27<br> o Gesamturteil - Note: 1,2 <br><br> <b> Endnote: 1,27</b>

Platz 1: dualutions
Einzelnoten:<br> o Angebot und Beratung im Vorfeld - Note: 1,07 <br> o Projektverlauf - Note: 1,14 <br> o Termintreue - Note: 1,14 <br> o Preis Leistung - Note: 1,5<br> o Betreuung im Nachfeld - Note: 1,36<br> o Gesamturteil - Note: 1,14 <br><br> <b> Endnote: 1,22</b>