Fachartikel

Automatisiertes Patchmanagement für Server

Wird eine Sicherheitslücke in einem Betriebssystem oder einer Applikation publik, nutzen Angreifer diese meist auch und geschäftskritische Anwendungen und Daten, die auf den Servern liegen, sind in Gefahr. Durch richtiges Patchmanagement lassen sich solche Sicherheitslücken schnell schließen. Wie der Artikel zeigt, überzeugen in der Praxis Automatisierungslösungen, die Fachabteilungen mit in die Pflicht nehmen und Arbeitsabläufe im Unternehmen berücksichtigen.
Beim Patchmanagement für Server gilt es einige grundsätzliche Punkte zu beachten.
In puncto Schnelligkeit besteht beim Patchmanagement offenkundig Nachholbedarf. So ergab eine Befragung von Systemverwaltern durch Microsoft, dass 81 Prozent der Sicherheitsupdates für Windows-Server innerhalb von 30 Tagen installiert werden. In 53 Prozent der Fälle soll dies bereits sogar innerhalb einer Woche der Fall sein. Doch auch das bedeutet, dass Angreifer immer noch genügend Zeit haben, um Attacken zu starten.

Schlechter ist die Bilanz bei Linux-Servern und anderen Betriebssystemen: Nur bei 54 Prozent dieser Systeme werden Sicherheitslücken innerhalb eines Monats geschlossen. Laut der Umfrage gibt es mehrere Gründe, weshalb es beim Patching zu Verzögerungen kommt, etwa der Mangel an Zeit und an Ressourcen. Zu denken gibt, dass auch mangelndes Bewusstsein der Führungskräfte für die Bedeutung des Patchings und eines gut funktionierenden Patchmanagement angeführt wurden.

In der Praxis sind so immer wieder Serversysteme anzutreffen, die teilweise mehrere Jahre lang nicht gepatcht wurden. Die Gründe dafür sind vielfältig, vom Mangel an IT-Fachpersonal, fehlendem Bewusstsein für die Risiken, die der Verzicht auf Updates mit sich bringt, bis hin zur Befürchtung, dass Patches bestehende IT-Prozesse stören könnten.
Implementierungsansätze und Fünf-Punkte-Checkliste
Nicht ob, sondern wie man Patches implementiert, lautet heute die Sicherheitsfrage, die sich Unternehmen stellt. Ihnen bieten sich drei Ansätze, die nötigen Systemaktualisierungen auf den Servern vorzunehmen: Sie können Patches automatisiert einspielen, wobei die neue Software ohne ausdrückliche Genehmigung eines Administrators installiert wird. Dies empfiehlt sich nur bei Updates, die keinen Neustart eines Systems zur Folge haben und bei denen sich die Auswirkungen auf Betriebssystem und Applikationen in engen Grenzen halten. Die zweite Variante ist ein gesteuertes Patchen, bei dem die Updates auf die Server aufgespielt werden. Ist jedoch ein Neustart des Systems erforderlich, wird dies erst dann durchgeführt, wenn ein Administrator die Freigabe dafür erteilt.

Für die dritte Möglichkeit legt ein Administrator ein Wartungsfenster fest. Der IT-Fachmann definiert, welche Patches wann auf einem Server eingespielt werden und wann das System gegebenenfalls neu gestartet wird. Dieses Verfahren kommt vor allem bei unternehmenskritischen Systemen zum Zuge, die quasi rund um die Uhr zur Verfügung stehen müssen. Der Administrator kann beispielsweise festlegen, dass das Patching in der Nacht oder am Sonntag erfolgt, also außerhalb der Arbeitszeit der Nutzer.

Damit das zu implementierende Server-Patchmanagement korrekt funktioniert, sollten IT-Abteilungen folgende Punkte klären:

  • Ist ein aktuelles Server-Inventory vorhanden, auf das eine Patch-Policy aufsetzen kann?
  • Auf welchem Niveau befindet sich das Absichern der Server (System-Hardening)? Out of the Box oder High Secure?
  • In wessen Händen liegt die Systemverantwortung? Bei der IT-Abteilung, den Administratoren bestimmter Server (Server Owner) oder den Fachabteilungen?
  • Wurde für jedes Serversystem eine funktionierende und zuverlässige BCDR-Lösung (Business Continuity and Disaster Recovery) implementiert? Und wird diese regelmäßig überprüft?
  • Welche "Patch-Policy" ist für das Unternehmen erforderlich?
Gründe für unzureichendes Patching
Diese Fragen machen deutlich, dass sich ein Patchmanagement für Server nicht "mal eben so" einrichten lässt, auch nicht mit Managementwerkzeugen wie Microsoft System Center Configuration Manager (SCCM). Diese Komplexität ist ein Grund dafür, dass IT-Abteilungen häufig das Thema Server-Patchmanagement auf die lange Bank schieben. Wenn viele Serversysteme im Einsatz sind, verlieren Administratoren möglicherweise den Überblick darüber, welche IT-Services von welchen Systemen abhängig sind.

In der Praxis funktioniert das Updaten auch deshalb nicht wie gewünscht, weil oft klare Regeln fehlen, wer für das Patching und das Erstellen von Regeln (Patch-Policy) zuständig ist. Zudem ist der Zeitaufwand für das Testen und die Implementierung von Patches hoch. Das ist vor allem in Unternehmen mit einer Vielzahl unterschiedlicher Serversysteme und IT-Services ein Problem. Ebenso zeitintensiv gestaltet sich die Abstimmung mit den Fachbereichen und Herstellern von Applikationen. Unter diesen Umständen ist für hoch belastete IT-Abteilungen die Versuchung groß, Patchprozesse zu verschieben.
3.04.2019/ln/Markus Köstner, Teamleiter Digital Experience Development bei Axians IT Solutions

Nachrichten

Service Pack 1 für SUSE Linux Enterprise 15 [25.06.2019]

SUSE hat Service Pack 1 von "SUSE Linux Enterprise 15" veröffentlicht. Der Anbieter bewirbt die Aktualisierung als multimodales Betriebssystemmodell – Container etwa sollen sich ebenso effizient einzusetzen lassen wie Datenbanken sowie ERP auf traditionellen Systemen. Konkret bietet SP1 außerdem volle Unterstützung für die Secure-Encrypted-Virtualization-Technologie von AMD. [mehr]

Ruhige Nächte mit MariaDB [12.06.2019]

Die MariaDB Corporation hat für Ende Juni "MariaDB Enterprise Server 10.4" angekündigt. Das Release trägt den Namen "Ruhige Nächte" (Restful Nights) und soll in puncto Stabilität und Anpassbarkeit neue Standards für Datenbanken in großen Produktivumgebungen setzen. Für mehr Sicherheit wird es zudem neue Backup-, Audit- und Cluster-Funktionen geben. [mehr]

Fliegengewicht [7.06.2019]

Tipps & Tools

Linux mit WebFAI neu aufsetzen [23.06.2019]

Um Linux auf mehreren Computern von Tuxedo neu auszurollen, liefert der Hersteller eine WebFAI auf einem USB-Stick. Der folgende Tipp zeigt Ihnen was Sie bei der Installation mit WebFAI beachten müssen. Dabei erklären wir auch, wie Sie das benötigte UEFI im Fll von BIOS-Problemen aktivieren. [mehr]

Katze oder Hund? [22.06.2019]

Für Tierliebhaber unter den Admins gibt es jetzt die optimale Lösung zur gleichzeitigen Schonung von Maushand und Nerven. Die Handballenauflage [1] in Form von Hund oder Katze sorgt für ein entspanntes Handgelenk bei der Arbeit am Rechner. Bei wiederkehrenden PC-Problemen lassen sich die Kunststoff-Viecher zudem bedenkenlos kneten, um den Stressabbau zu fördern. [mehr]

Buchbesprechung

Anzeigen