Patches verringern die Gefahr von Angriffen auf Sicherheitslücken in weit verbreiteten Anwendungen, das Verteilen der Flicken kostet allerdings viel Zeit. Patch Management-Lösungen automatisieren den Prozess - kleineren Unternehmen stehen sie als Managed Service zur Verfügung. Welche das sein könnten, erklärt Marcus Stahlhacke, Business Consultant bei der Norman Data Defense Systems GmbH.
Die Zahl der Sicherheitslücken in Softwareprodukten steigt sprunghaft an, kaum ein Tag vergeht ohne neue Warnmeldungen. Mehr als 90 Prozent aller Malware-Angriffe nutzen Sicherheitslücken aus, für die bereits Patches verfügbar sind. Das zeitnahe Verteilen von Patches auf allen Rechnern stellt deshalb einen wesentlichen Baustein beim Schutz des Unternehmensnetzes dar und ist ebenso wichtig wie das tägliche Update der Virenschutzlösung. Aber das ist leichter gesagt als getan.
Der Aufwand für das Patchen wächst rasant, nicht nur für Microsoft-Produkte. Inzwischen stellt Drittanbieter-Software mehr als 60 Prozent des Patch-Aufkommens. Werden im Unternehmen unterschiedliche Hardware-Typen, Hardware verschiedener Hersteller, mehrere Betriebssysteme und unterschiedliche Software eingesetzt, ist Patchen eine Aufgabe mit erheblicher Komplexität.
Patch-Dienst als Mehrwert
Zahlreiche, vor allem große Unternehmen lassen sich deshalb von Patch-Management-Lösungen helfen. Viele kleinere und mittelständische Unternehmen tun sich jedoch schwer, entsprechende Ressourcen zur Verfügung zu stellen. Hier eignet sich Patch Management als Managed Service. Ein derartiger Dienst richtet sich an Unternehmen, für die sich die Installation einer eigenen Lösung nicht lohnt bzw. die den zeitlichen Aufwand für ein eigenes Patch-Management nicht leisten können oder wollen.
Realisiert wird er über Vertriebspartner, die Erfahrung mit Online-Dienstleistungen haben. Die Systemhäuser und Händler betreiben die erforderliche Infrastruktur - einen Management-Server mit der mandantenfähigen Software - im eigenen Rechenzentrum. Die Abrechnung erfolgt nach der Anzahl der Clients im Kundenunternehmen.
Kunden individuelle Service Pakete
Reseller bieten ihren Kunden Leistungspakete an, die sie den Anforderungen ihres Kundenstammes entsprechend frei gestalten können. Ein Standard-Paket kann so beispielsweise sicherheitskritische Microsoft-Patches enthalten, ein umfangreicheres zusätzlich auch Software-Updates. Die Pakete lassen sich je nach den Kundenanforderungen erweitern, beispielsweise um Patches und Updates für Adobe-Produkte.
Da Vertriebspartner in der Regel lokal oder regional aufgestellt sind und die Netzwerke vieler ihrer Kunden gut kennen, können sie auch das Patch-Management für die gesamte im Unternehmen genutzte Software übernehmen. Herstellerneutrale Lösungen stellen hierfür ein sehr breites Angbotsspektrum zur Verfügung, von Microsoft-Produkten über Betriebssysteme wie Mac OS X 10.3 bis 10.6, HP-UX 11.00 bis 11.31 und die Linux-Derivate Novell SUSE Linux Enterprise Server/Desktop 9 und 10, Red Hat Enterprise Linux AS/ES/WS 3 und 4, Sun Solaris 9 und 10 bis zu rund zwei Dutzend Anwendungen wie Adobe PDF Reader / Writer, Flash Player, Java und andere. Proprietäre Lösungen können, die entsprechenden Anpassungen vorausgesetzt, ebenfalls versorgt werden.
Regelmäßige Berichte
Auch die Zugriffsmöglichkeiten der Kunde auf das Management-Interface werden vorab geklärt. Vielen Unternehmen reicht ein regelmäßiger Report zum Patch-Status und den verteilten Patches. Er kann, je nach den Anforderungen, unterschiedlich detailliert ausfallen, so dass sich die Angaben auch nutzen lassen, um die Übereinstimmung mit rechtlichen Vorgaben und Regelungen zur IT-Sicherheit nachzuweisen.
Anderen Unternehmen, die sich selbst ein Bild über den Zustand ihrer Systeme machen wollen, kann für ihr Netzwerk ein Lese-Zugriff auf das Interface eingerichtet werden. Sogar die Vergabe von Lese- und Schreibrechten ist möglich, wenn beispielsweise ein Kunde die Patches selbst verteilen und dafür den Management-Server des Dienstleisters nutzen möchte. Weiterhin sind Regelungen zum Patch-Zeitpunkt notwendig, damit Beeinträchtigungen im Arbeitsprozess durch einen Neustart von Servern bzw. Clients vermieden werden.
Agenten gestütztes Vorgehen
Moderne Patch-Management-Lösungen arbeiten mit so genannte Softwar-Agenten, die vor Ort vom Kunden selbst oder vom Partner auf den Clients installiert werden und in das Patch Management einbezogen werden. Die Installation lässt sich über das Active Directory automatisieren, so dass auch alle Clients, die neu ins Netzwerk kommen, mit einem Agent bestückt und richtliniengemäß gepatcht werden.
Die Agenten melden sich am Management-Server an; als ersten Arbeitsschritt inventarisieren sie die Hard- und Softwarekomponenten auf dem Client. Die Liste wird an den Server gesendet und mit den bekannten Schwachstellen abgeglichen. In einem zweiten Suchlauf ermittelt der Agent den Patch-Status des Clients für die automatische Zusammenstellung der passenden Patches. Dabei werden auch Abhängigkeiten zwischen Patches berücksichtigt.
Gruppenrichtlinien einrichten
Die Agenten überwachen den Patch-Vorgang und melden dem Server das Ge- oder Misslingen der Installation. Außerdem lässt sich mit ihrer Hilfe regelmäßig prüfen, ob die Patches noch korrekt installiert sind. Je nach Struktur des Unternehmensnetzes lassen sich Clients in Gruppen mit identischen Anforderungen zusammenfassen und entsprechend Richtlinien definieren, beispielsweise in welchen Abständen sie den Server ansprechen.
So genannte "Mandatory Baselines" stellen dabei sicher, dass Patches bis zu einem bestimmten Zeitpunkt auf allen Clients einer Gruppe installiert sind. In größeren Netzwerken ist ein Cache-Server für die lokale Zwischenspeicherung der Patch-Pakete sinnvoll, so dass der Netzwerkverkehr verringert und die Bandbreite optimal genutzt werden.
Kosten für IT-Admins sparen
Patch Management als Managed Service stellt die kontinuierliche Pflege der Software im Unternehmen sicher und verringert durch das zeitnahe Verteilen der Patches die Gefahr von Malware-Angriffen. Die Unternehmen erhalten individuell auf ihre Anforderungen abgestimmte Leistungspakete zu kalkulierbaren Kosten und reduzieren Komplexität und Aufwand im Innenbereich. (rw)