Automatisiertes Patchmanagement für Server

Lesezeit
2 Minuten
Bis jetzt gelesen

Automatisiertes Patchmanagement für Server

03.04.2019 - 14:00
Veröffentlicht in:
Wird eine Sicherheitslücke in einem Betriebssystem oder einer Applikation publik, nutzen Angreifer diese meist auch und geschäftskritische Anwendungen und Daten, die auf den Servern liegen, sind in Gefahr. Durch richtiges Patchmanagement lassen sich solche Sicherheitslücken schnell schließen. Wie der Artikel zeigt, überzeugen in der Praxis Automatisierungslösungen, die Fachabteilungen mit in die Pflicht nehmen und Arbeitsabläufe im Unternehmen berücksichtigen.
In puncto Schnelligkeit besteht beim Patchmanagement offenkundig Nachholbedarf. So ergab eine Befragung von Systemverwaltern durch Microsoft, dass 81 Prozent der Sicherheitsupdates für Windows-Server innerhalb von 30 Tagen installiert werden. In 53 Prozent der Fälle soll dies bereits sogar innerhalb einer Woche der Fall sein. Doch auch das bedeutet, dass Angreifer immer noch genügend Zeit haben, um Attacken zu starten.

Schlechter ist die Bilanz bei Linux-Servern und anderen Betriebssystemen: Nur bei 54 Prozent dieser Systeme werden Sicherheitslücken innerhalb eines Monats geschlossen. Laut der Umfrage gibt es mehrere Gründe, weshalb es beim Patching zu Verzögerungen kommt, etwa der Mangel an Zeit und an Ressourcen. Zu denken gibt, dass auch mangelndes Bewusstsein der Führungskräfte für die Bedeutung des Patchings und eines gut funktionierenden Patchmanagement angeführt wurden.

In der Praxis sind so immer wieder Serversysteme anzutreffen, die teilweise mehrere Jahre lang nicht gepatcht wurden. Die Gründe dafür sind vielfältig, vom Mangel an IT-Fachpersonal, fehlendem Bewusstsein für die Risiken, die der Verzicht auf Updates mit sich bringt, bis hin zur Befürchtung, dass Patches bestehende IT-Prozesse stören könnten.

Implementierungsansätze und Fünf-Punkte-Checkliste
Nicht ob, sondern wie man Patches implementiert, lautet heute die Sicherheitsfrage, die sich Unternehmen stellt. Ihnen bieten sich drei Ansätze, die nötigen Systemaktualisierungen auf den Servern vorzunehmen: Sie können Patches automatisiert einspielen, wobei die neue Software ohne ausdrückliche Genehmigung eines Administrators installiert wird. Dies empfiehlt sich nur bei Updates, die keinen Neustart eines Systems zur Folge haben und bei denen sich die Auswirkungen auf Betriebssystem und Applikationen in engen Grenzen halten. Die zweite Variante ist ein gesteuertes Patchen, bei dem die Updates auf die Server aufgespielt werden. Ist jedoch ein Neustart des Systems erforderlich, wird dies erst dann durchgeführt, wenn ein Administrator die Freigabe dafür erteilt.

Für die dritte Möglichkeit legt ein Administrator ein Wartungsfenster fest. Der IT-Fachmann definiert, welche Patches wann auf einem Server eingespielt werden und wann das System gegebenenfalls neu gestartet wird. Dieses Verfahren kommt vor allem bei unternehmenskritischen Systemen zum Zuge, die quasi rund um die Uhr zur Verfügung stehen müssen. Der Administrator kann beispielsweise festlegen, dass das Patching in der Nacht oder am Sonntag erfolgt, also außerhalb der Arbeitszeit der Nutzer.

Damit das zu implementierende Server-Patchmanagement korrekt funktioniert, sollten IT-Abteilungen folgende Punkte klären:

  • Ist ein aktuelles Server-Inventory vorhanden, auf das eine Patch-Policy aufsetzen kann?
  • Auf welchem Niveau befindet sich das Absichern der Server (System-Hardening)? Out of the Box oder High Secure?
  • In wessen Händen liegt die Systemverantwortung? Bei der IT-Abteilung, den Administratoren bestimmter Server (Server Owner) oder den Fachabteilungen?
  • Wurde für jedes Serversystem eine funktionierende und zuverlässige BCDR-Lösung (Business Continuity and Disaster Recovery) implementiert? Und wird diese regelmäßig überprüft?
  • Welche "Patch-Policy" ist für das Unternehmen erforderlich?
Gründe für unzureichendes Patching
Diese Fragen machen deutlich, dass sich ein Patchmanagement für Server nicht "mal eben so" einrichten lässt, auch nicht mit Managementwerkzeugen wie Microsoft System Center Configuration Manager (SCCM). Diese Komplexität ist ein Grund dafür, dass IT-Abteilungen häufig das Thema Server-Patchmanagement auf die lange Bank schieben. Wenn viele Serversysteme im Einsatz sind, verlieren Administratoren möglicherweise den Überblick darüber, welche IT-Services von welchen Systemen abhängig sind.

In der Praxis funktioniert das Updaten auch deshalb nicht wie gewünscht, weil oft klare Regeln fehlen, wer für das Patching und das Erstellen von Regeln (Patch-Policy) zuständig ist. Zudem ist der Zeitaufwand für das Testen und die Implementierung von Patches hoch. Das ist vor allem in Unternehmen mit einer Vielzahl unterschiedlicher Serversysteme und IT-Services ein Problem. Ebenso zeitintensiv gestaltet sich die Abstimmung mit den Fachbereichen und Herstellern von Applikationen. Unter diesen Umständen ist für hoch belastete IT-Abteilungen die Versuchung groß, Patchprozesse zu verschieben.


ln/Markus Köstner, Teamleiter Digital Experience Development bei Axians IT Solutions

Ähnliche Beiträge

Im Test: Heimdal Patch & Asset Management

Ein zeitgemäßes Patchmanagement darf sich angesichts der vielfältigen Bedrohungen nicht allein auf die Microsoft-Produkte konzentrieren, sondern muss sich auch verbreiteten Drittanbieteranwendungen widmen. Der dänische Anbieter Heimdal Security geht noch einen Schritt weiter und hat eine ganze Suite zum Schutz vor Cyberbedrohungen im Programm. Mit dem Fokus auf das Patchen haben wir uns das cloudbasierte Angebot genauer angesehen.

Device-Management mit Microsoft Intune und Office 365 - Zwei Wege, ein Ziel

Um Geräte im Netzwerk oder mobile Geräte, die auf das Netzwerk zugreifen, zu verwalten, bietet sich für Unternehmen entweder Office 365 Mobile Device Management oder Microsoft Intune an. Ein Unterschied zwischen den beiden Lösungen besteht vor allem im Preis. Während das Device-Management zu vielen Abonnements in Office 365 gehört, muss Microsoft Intune gesondert abonniert werden. In diesem Beitrag stellen wir beide Ansätze vor.