Fachartikel

Automatisiertes Patchmanagement für Server

Wird eine Sicherheitslücke in einem Betriebssystem oder einer Applikation publik, nutzen Angreifer diese meist auch und geschäftskritische Anwendungen und Daten, die auf den Servern liegen, sind in Gefahr. Durch richtiges Patchmanagement lassen sich solche Sicherheitslücken schnell schließen. Wie der Artikel zeigt, überzeugen in der Praxis Automatisierungslösungen, die Fachabteilungen mit in die Pflicht nehmen und Arbeitsabläufe im Unternehmen berücksichtigen.
Beim Patchmanagement für Server gilt es einige grundsätzliche Punkte zu beachten.
In puncto Schnelligkeit besteht beim Patchmanagement offenkundig Nachholbedarf. So ergab eine Befragung von Systemverwaltern durch Microsoft, dass 81 Prozent der Sicherheitsupdates für Windows-Server innerhalb von 30 Tagen installiert werden. In 53 Prozent der Fälle soll dies bereits sogar innerhalb einer Woche der Fall sein. Doch auch das bedeutet, dass Angreifer immer noch genügend Zeit haben, um Attacken zu starten.

Schlechter ist die Bilanz bei Linux-Servern und anderen Betriebssystemen: Nur bei 54 Prozent dieser Systeme werden Sicherheitslücken innerhalb eines Monats geschlossen. Laut der Umfrage gibt es mehrere Gründe, weshalb es beim Patching zu Verzögerungen kommt, etwa der Mangel an Zeit und an Ressourcen. Zu denken gibt, dass auch mangelndes Bewusstsein der Führungskräfte für die Bedeutung des Patchings und eines gut funktionierenden Patchmanagement angeführt wurden.

In der Praxis sind so immer wieder Serversysteme anzutreffen, die teilweise mehrere Jahre lang nicht gepatcht wurden. Die Gründe dafür sind vielfältig, vom Mangel an IT-Fachpersonal, fehlendem Bewusstsein für die Risiken, die der Verzicht auf Updates mit sich bringt, bis hin zur Befürchtung, dass Patches bestehende IT-Prozesse stören könnten.
Implementierungsansätze und Fünf-Punkte-Checkliste
Nicht ob, sondern wie man Patches implementiert, lautet heute die Sicherheitsfrage, die sich Unternehmen stellt. Ihnen bieten sich drei Ansätze, die nötigen Systemaktualisierungen auf den Servern vorzunehmen: Sie können Patches automatisiert einspielen, wobei die neue Software ohne ausdrückliche Genehmigung eines Administrators installiert wird. Dies empfiehlt sich nur bei Updates, die keinen Neustart eines Systems zur Folge haben und bei denen sich die Auswirkungen auf Betriebssystem und Applikationen in engen Grenzen halten. Die zweite Variante ist ein gesteuertes Patchen, bei dem die Updates auf die Server aufgespielt werden. Ist jedoch ein Neustart des Systems erforderlich, wird dies erst dann durchgeführt, wenn ein Administrator die Freigabe dafür erteilt.

Für die dritte Möglichkeit legt ein Administrator ein Wartungsfenster fest. Der IT-Fachmann definiert, welche Patches wann auf einem Server eingespielt werden und wann das System gegebenenfalls neu gestartet wird. Dieses Verfahren kommt vor allem bei unternehmenskritischen Systemen zum Zuge, die quasi rund um die Uhr zur Verfügung stehen müssen. Der Administrator kann beispielsweise festlegen, dass das Patching in der Nacht oder am Sonntag erfolgt, also außerhalb der Arbeitszeit der Nutzer.

Damit das zu implementierende Server-Patchmanagement korrekt funktioniert, sollten IT-Abteilungen folgende Punkte klären:

  • Ist ein aktuelles Server-Inventory vorhanden, auf das eine Patch-Policy aufsetzen kann?
  • Auf welchem Niveau befindet sich das Absichern der Server (System-Hardening)? Out of the Box oder High Secure?
  • In wessen Händen liegt die Systemverantwortung? Bei der IT-Abteilung, den Administratoren bestimmter Server (Server Owner) oder den Fachabteilungen?
  • Wurde für jedes Serversystem eine funktionierende und zuverlässige BCDR-Lösung (Business Continuity and Disaster Recovery) implementiert? Und wird diese regelmäßig überprüft?
  • Welche "Patch-Policy" ist für das Unternehmen erforderlich?
Gründe für unzureichendes Patching
Diese Fragen machen deutlich, dass sich ein Patchmanagement für Server nicht "mal eben so" einrichten lässt, auch nicht mit Managementwerkzeugen wie Microsoft System Center Configuration Manager (SCCM). Diese Komplexität ist ein Grund dafür, dass IT-Abteilungen häufig das Thema Server-Patchmanagement auf die lange Bank schieben. Wenn viele Serversysteme im Einsatz sind, verlieren Administratoren möglicherweise den Überblick darüber, welche IT-Services von welchen Systemen abhängig sind.

In der Praxis funktioniert das Updaten auch deshalb nicht wie gewünscht, weil oft klare Regeln fehlen, wer für das Patching und das Erstellen von Regeln (Patch-Policy) zuständig ist. Zudem ist der Zeitaufwand für das Testen und die Implementierung von Patches hoch. Das ist vor allem in Unternehmen mit einer Vielzahl unterschiedlicher Serversysteme und IT-Services ein Problem. Ebenso zeitintensiv gestaltet sich die Abstimmung mit den Fachbereichen und Herstellern von Applikationen. Unter diesen Umständen ist für hoch belastete IT-Abteilungen die Versuchung groß, Patchprozesse zu verschieben.
3.04.2019/ln/Markus Köstner, Teamleiter Digital Experience Development bei Axians IT Solutions

Nachrichten

Atos eröffnet KI-Labor in München [19.09.2019]

Atos eröffnete in München sein deutsches Labor für Künstliche Intelligenz (KI). Dort entwickelt Atos für seine Kunden Businesslösungen mit KI und anderen aktuellen Technologien. Das Labor richtet sich an Unternehmen und Organisationen, die den Einsatz von KI unternehmensweit fördern und entwickeln wollen. [mehr]

Wallet-as-a-Service aus München [13.09.2019]

Wenn es um den Einsatz von Blockchain geht, hinkt Deutschland hinterher. Lediglich zwei Prozent aller deutschen Unternehmen nutzen laut Bitcom Reasearch Analyse 2018 die dezentrale Datenbank. Mit ihrem "Wallet as a Service" möchte das Münchner Startup "Tangany" Unternehmen an die Blockchain anbinden und für die Nutzung der Technologie fit machen. [mehr]

Tipps & Tools

Smartphone zum PC-Ersatz umfunktionieren [20.09.2019]

Mittlerweile sind unsere Mobiltelefone zu ausgewachsenen Rechnern gewachsen, von den altgediente Admins in Sachen Taktfrequenz und Arbeitsspeicher früher nur träumen konnten. Warum dann nicht das Smartphone zwischendurch einfach zum Rechner umfunktionieren. Mit dem praktischen Gadget "Callstel USB-C-HDMI-Adapter DeX" fügen Sie alle denkbaren Schnittstellen und Funktionen hinzu. [mehr]

Download der Woche: Universal Extractor 2 [17.09.2019]

In bestimmten Fällen müssen Anwender auch mal einzelne Dateien aus einem Installationsarchiv ziehen. Mit dem kostenfreien Tool "Universal Extractor 2" lässt sich dieser Vorgang schnell und einfach umsetzen. Die Software unterstützt viele Dateitypen und ist sogar in der Lage, Audio-Tracks aus Multimedia-Dateien für Präsentationen zu extrahieren. [mehr]

Buchbesprechung

Windows Server 2019

von Peter Kloep, Karsten Weigel, Kevin Momber, Raphael Rojas und Annette Frankl

Anzeigen