Fachartikel

Automatisiertes Patchmanagement für Server

Wird eine Sicherheitslücke in einem Betriebssystem oder einer Applikation publik, nutzen Angreifer diese meist auch und geschäftskritische Anwendungen und Daten, die auf den Servern liegen, sind in Gefahr. Durch richtiges Patchmanagement lassen sich solche Sicherheitslücken schnell schließen. Wie der Artikel zeigt, überzeugen in der Praxis Automatisierungslösungen, die Fachabteilungen mit in die Pflicht nehmen und Arbeitsabläufe im Unternehmen berücksichtigen.
Beim Patchmanagement für Server gilt es einige grundsätzliche Punkte zu beachten.
In puncto Schnelligkeit besteht beim Patchmanagement offenkundig Nachholbedarf. So ergab eine Befragung von Systemverwaltern durch Microsoft, dass 81 Prozent der Sicherheitsupdates für Windows-Server innerhalb von 30 Tagen installiert werden. In 53 Prozent der Fälle soll dies bereits sogar innerhalb einer Woche der Fall sein. Doch auch das bedeutet, dass Angreifer immer noch genügend Zeit haben, um Attacken zu starten.

Schlechter ist die Bilanz bei Linux-Servern und anderen Betriebssystemen: Nur bei 54 Prozent dieser Systeme werden Sicherheitslücken innerhalb eines Monats geschlossen. Laut der Umfrage gibt es mehrere Gründe, weshalb es beim Patching zu Verzögerungen kommt, etwa der Mangel an Zeit und an Ressourcen. Zu denken gibt, dass auch mangelndes Bewusstsein der Führungskräfte für die Bedeutung des Patchings und eines gut funktionierenden Patchmanagement angeführt wurden.

In der Praxis sind so immer wieder Serversysteme anzutreffen, die teilweise mehrere Jahre lang nicht gepatcht wurden. Die Gründe dafür sind vielfältig, vom Mangel an IT-Fachpersonal, fehlendem Bewusstsein für die Risiken, die der Verzicht auf Updates mit sich bringt, bis hin zur Befürchtung, dass Patches bestehende IT-Prozesse stören könnten.
Implementierungsansätze und Fünf-Punkte-Checkliste
Nicht ob, sondern wie man Patches implementiert, lautet heute die Sicherheitsfrage, die sich Unternehmen stellt. Ihnen bieten sich drei Ansätze, die nötigen Systemaktualisierungen auf den Servern vorzunehmen: Sie können Patches automatisiert einspielen, wobei die neue Software ohne ausdrückliche Genehmigung eines Administrators installiert wird. Dies empfiehlt sich nur bei Updates, die keinen Neustart eines Systems zur Folge haben und bei denen sich die Auswirkungen auf Betriebssystem und Applikationen in engen Grenzen halten. Die zweite Variante ist ein gesteuertes Patchen, bei dem die Updates auf die Server aufgespielt werden. Ist jedoch ein Neustart des Systems erforderlich, wird dies erst dann durchgeführt, wenn ein Administrator die Freigabe dafür erteilt.

Für die dritte Möglichkeit legt ein Administrator ein Wartungsfenster fest. Der IT-Fachmann definiert, welche Patches wann auf einem Server eingespielt werden und wann das System gegebenenfalls neu gestartet wird. Dieses Verfahren kommt vor allem bei unternehmenskritischen Systemen zum Zuge, die quasi rund um die Uhr zur Verfügung stehen müssen. Der Administrator kann beispielsweise festlegen, dass das Patching in der Nacht oder am Sonntag erfolgt, also außerhalb der Arbeitszeit der Nutzer.

Damit das zu implementierende Server-Patchmanagement korrekt funktioniert, sollten IT-Abteilungen folgende Punkte klären:

  • Ist ein aktuelles Server-Inventory vorhanden, auf das eine Patch-Policy aufsetzen kann?
  • Auf welchem Niveau befindet sich das Absichern der Server (System-Hardening)? Out of the Box oder High Secure?
  • In wessen Händen liegt die Systemverantwortung? Bei der IT-Abteilung, den Administratoren bestimmter Server (Server Owner) oder den Fachabteilungen?
  • Wurde für jedes Serversystem eine funktionierende und zuverlässige BCDR-Lösung (Business Continuity and Disaster Recovery) implementiert? Und wird diese regelmäßig überprüft?
  • Welche "Patch-Policy" ist für das Unternehmen erforderlich?
Gründe für unzureichendes Patching
Diese Fragen machen deutlich, dass sich ein Patchmanagement für Server nicht "mal eben so" einrichten lässt, auch nicht mit Managementwerkzeugen wie Microsoft System Center Configuration Manager (SCCM). Diese Komplexität ist ein Grund dafür, dass IT-Abteilungen häufig das Thema Server-Patchmanagement auf die lange Bank schieben. Wenn viele Serversysteme im Einsatz sind, verlieren Administratoren möglicherweise den Überblick darüber, welche IT-Services von welchen Systemen abhängig sind.

In der Praxis funktioniert das Updaten auch deshalb nicht wie gewünscht, weil oft klare Regeln fehlen, wer für das Patching und das Erstellen von Regeln (Patch-Policy) zuständig ist. Zudem ist der Zeitaufwand für das Testen und die Implementierung von Patches hoch. Das ist vor allem in Unternehmen mit einer Vielzahl unterschiedlicher Serversysteme und IT-Services ein Problem. Ebenso zeitintensiv gestaltet sich die Abstimmung mit den Fachbereichen und Herstellern von Applikationen. Unter diesen Umständen ist für hoch belastete IT-Abteilungen die Versuchung groß, Patchprozesse zu verschieben.
3.04.2019/ln/Markus Köstner, Teamleiter Digital Experience Development bei Axians IT Solutions

Nachrichten

Angreifer manipulieren DNS-Einträge bei Registraren [18.04.2019]

Cisco Talos hat eine neue Angriffsmethode entdeckt. So spionierten Cyberkriminelle Registrierungsstellen für Domain-Namen aus. Mit den gestohlenen Anmeldeinformationen konnten sie dann Attacken gegen staatliche Organisationen und andere Ziele ausführen. Deren Website-Besucher wurden auf gespiegelte Seiten umgelenkt, um an sensible Daten zu gelangen. [mehr]

Surface Hub 2S ab Juni verfügbar [18.04.2019]

Microsoft hat weitere Details zum neuen Surface Hub 2S veröffentlicht. Unternehmenskunden in Deutschland können die zweite Generation von Surface Hub ab dem 1. Mai über Fachhändler reservieren. In den USA wird Surface Hub 2S ab Juni zu einem Preis von 9000 Dollar ausgeliefert, kurz danach auch in Deutschland. Das Gerät wurde für den 'Modern Workplace' konzipiert und kann als digitales Whiteboard, Meeting- und Kollaborationstool verwendet werden. [mehr]

Tipps & Tools

Vorschau Mai 2019: IT-Sicherheitsmanagement [22.04.2019]

Besonders in kleineren Firmen ohne eigenes IT-Sicherheitsteam fällt es Administratoren schwer, mit zunehmend gehäuften und raffinierten Angriffen umzugehen. In der Mai-Ausgabe beleuchtet IT-Administrator deshalb das Thema 'IT-Sicherheitsmanagement'. So lesen Sie, welche Sicherheitsfunktionen Windows Server sowie Exchange Server 2019 mitbringen. Außerdem erfahren Sie, wie Sie Ihre Azure-Umgebung absichern und Linux-Systeme härten. Unser Workshop zu 'Infection Monkey' lässt Sie ferner in die Rolle eines Angreifers schlüpfen, um das eigene Netzwerk auf Schwachstellen zu testen. [mehr]

AWS-Account absichern [21.04.2019]

Cloudanbieter bewerben ihre Angebote mit einer Vereinfachung von IT-Prozessen. Dabei sollte aber die Sicherheit nicht auf der Strecke bleiben. Besonders wichtig ist dies für Nutzer von AWS, denn über die AWS Management Console als zentrale Anlaufstelle können Angreifer viel Schaden anrichten. Es gilt daher, den AWS-Account bestmöglich gegen Passwortangriffe abzuschirmen - unter anderem durch Multi-Faktor-Authentifizierung. [mehr]

Buchbesprechung

IT-Sicherheit

von Prof. Dr. Claudia Eckert

Anzeigen