KRITIS für den Mittelstand: Patch Management

von Hendrik Müller (Kommentare: 0)

Warum benötigen wir ein Patch Management?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt in seinem Lagebericht 2014 fest: "Schwachstellen sind immanenter Bestandteil heutiger Software." Weiter heißt es dort, "Für die Gruppe der weit verbreitet genutzten Produkte muss mit einer Erkennung von durchschnittlich zwei kritischen Schwachstellen pro Tag gerechnet werden."
 
Software wird mit dem Ziel programmiert, eine bestimmte Aufgabe zu erfüllen. Dafür wird ein Zugriff auf Systemressourcen in unterschiedlichem Umfang benötigt, etwa Speicherzugriff, Prozessorrechenzeit, Zugriff auf System- oder Netzwerkdienste sowie auf Drittsoftware. Software steht also nicht für sich allein, sondern arbeitet vor allem über Schnittstellen mit anderen Komponenten zusammen, damit sie ihre jeweilige Aufgabe erreichen kann.
 
 
tl_files/MR/Bilder/Newsletter/Patchmanagement.png
 
 
Während dieses große Maß an Zugriffsrechten für das unmittelbare Ziel der Software hilfreich ist, birgt es gleichzeitig gewisse Sicherheitsrisiken. Wenn beispielsweise unsere auf einem PC installierte Lohnsoftware Zugriff auf unsere Mitarbeiterdaten hat, kann sie für einen Angreifer, der es auf diese Mitarbeiterdaten abgesehen hat, zu einem Einfallstor werden: Ein PC ist häufig einfacher zu kompromittieren als Server-Systeme.
 
Das liegt vor allem auch daran, dass Software nie 100%ig sicher ist. Während Funktionen implementiert werden, werden gleichzeitig Sicherheitslücken geöffnet, um diese Funktionen gewährleisten zu können. Ein Softwareanbieter zeichnet sich neben der Funktionalität vor allem auch dadurch aus, wie gut er so entstandene Sicherheitslücken erkennt und Updates anbietet, um diese zu schließen. Die Updates durchzuführen ist wiederum Aufgabe der IT-Abteilung des Anwenders.
 

Was verstehen wir unter einem Patch Management?

Patch Management beschäftigt sich mit der Organisation und Durchführung von Software Updates. Ihr Ziel ist es, Sicherheitslücken zu schließen und damit IT-Risiken zu minimieren. Damit Patch Management richtig funktioniert, sind einige Dinge zu beachten:
  1. Welche Systeme betreiben wir? (möglichst aktuelle und durch Hersteller-Support unterstützte)
  2. Welche Software wird darauf jeweils eingesetzt? (korrekt lizenziert, möglichst aktuell durch Hersteller-Support unterstützt)
  1. Welche Software wird auf den Systemen benötigt? (möglichst sollte diese Liste mit #2 übereinstimmen)
  2. Wer kann Software de-/installieren? (möglichst ein kleiner Kreis Berechtigter, siehe auch Berechtigungskonzept [LINK: https://mr-systeme.de/news/kritis-fuer-den-mittelstand-berechtigungskonzept.html])
  3. Welche Verbindungen zu anderen Software-Produkten/Geschäftsprozessen bestehen? (beispielsweise ist bei Updates einer Software damit zu rechnen, dass Plug-ins hierdurch nicht mehr funktionieren)
  4. Welche Wartungsfenster für Updates/Neustarts je System bestehen?
Basierend auf diesen Daten erstellen wir ein passendes Patch-Management-Konzept für das Unternehmen, den Geschäftsbereich, die Abteilung, die Arbeitsgruppe oder das System - je nach Bedarf. Patch Management dient also der organisierten Verwaltung von Software sowie konzertierten Durchführung von Software Updates mit dem Ziel, IT-Risiken zu minimieren und dabei ein hohes Maß an Systemstabilität und die Aufrechterhaltung des Geschäftsbetriebs zu garantieren.
 
 
tl_files/MR/Bilder/Newsletter/Patchmanagement_1.png
 
 

Wie führen wir ein Patch Management durch?

Wir beginnen die Implementierung eines Patch Managements mit der Aufnahme oben genannter System- und Geschäftsinformationen und der Empfehlung eines Prozesses. Dieser Prozess beinhaltet nicht nur Aufgaben rund um die Durchführung von Software Updates sondern vor allem auch eine Beschäftigung mit sich selbst: Ändern sich Systemart oder -anzahl? Werden Software-Produkte abgelöst oder neue hinzugefügt? Verändern sich die Anforderungen des Geschäftsbetriebs an die Software?
Ein hohes Maß an Automatisierung des eigentlichen, technischen Update-Vorgangs lässt uns Ressourcen, um uns mit den strategischen Auswirkungen zu befassen. Was sehr komplex klingt, kann im Mittelstand oft mit wenig Aufwand durchgeführt werden, mit
 
  • garantierten Wartungsfenstern
  • garantiertem, spätestem Zeitpunkt für die Installation neuer Updates
  • garantierter Dokumentation von Tätigkeiten und Ergebnissen
  • garantiertem Revisionstermin für den Standard

 

 

Zurück