Fachartikel

Automatisiertes Patchmanagement für Server

Wird eine Sicherheitslücke in einem Betriebssystem oder einer Applikation publik, nutzen Angreifer diese meist auch und geschäftskritische Anwendungen und Daten, die auf den Servern liegen, sind in Gefahr. Durch richtiges Patchmanagement lassen sich solche Sicherheitslücken schnell schließen. Wie der Artikel zeigt, überzeugen in der Praxis Automatisierungslösungen, die Fachabteilungen mit in die Pflicht nehmen und Arbeitsabläufe im Unternehmen berücksichtigen.
Beim Patchmanagement für Server gilt es einige grundsätzliche Punkte zu beachten.
In puncto Schnelligkeit besteht beim Patchmanagement offenkundig Nachholbedarf. So ergab eine Befragung von Systemverwaltern durch Microsoft, dass 81 Prozent der Sicherheitsupdates für Windows-Server innerhalb von 30 Tagen installiert werden. In 53 Prozent der Fälle soll dies bereits sogar innerhalb einer Woche der Fall sein. Doch auch das bedeutet, dass Angreifer immer noch genügend Zeit haben, um Attacken zu starten.

Schlechter ist die Bilanz bei Linux-Servern und anderen Betriebssystemen: Nur bei 54 Prozent dieser Systeme werden Sicherheitslücken innerhalb eines Monats geschlossen. Laut der Umfrage gibt es mehrere Gründe, weshalb es beim Patching zu Verzögerungen kommt, etwa der Mangel an Zeit und an Ressourcen. Zu denken gibt, dass auch mangelndes Bewusstsein der Führungskräfte für die Bedeutung des Patchings und eines gut funktionierenden Patchmanagement angeführt wurden.

In der Praxis sind so immer wieder Serversysteme anzutreffen, die teilweise mehrere Jahre lang nicht gepatcht wurden. Die Gründe dafür sind vielfältig, vom Mangel an IT-Fachpersonal, fehlendem Bewusstsein für die Risiken, die der Verzicht auf Updates mit sich bringt, bis hin zur Befürchtung, dass Patches bestehende IT-Prozesse stören könnten.
Implementierungsansätze und Fünf-Punkte-Checkliste
Nicht ob, sondern wie man Patches implementiert, lautet heute die Sicherheitsfrage, die sich Unternehmen stellt. Ihnen bieten sich drei Ansätze, die nötigen Systemaktualisierungen auf den Servern vorzunehmen: Sie können Patches automatisiert einspielen, wobei die neue Software ohne ausdrückliche Genehmigung eines Administrators installiert wird. Dies empfiehlt sich nur bei Updates, die keinen Neustart eines Systems zur Folge haben und bei denen sich die Auswirkungen auf Betriebssystem und Applikationen in engen Grenzen halten. Die zweite Variante ist ein gesteuertes Patchen, bei dem die Updates auf die Server aufgespielt werden. Ist jedoch ein Neustart des Systems erforderlich, wird dies erst dann durchgeführt, wenn ein Administrator die Freigabe dafür erteilt.

Für die dritte Möglichkeit legt ein Administrator ein Wartungsfenster fest. Der IT-Fachmann definiert, welche Patches wann auf einem Server eingespielt werden und wann das System gegebenenfalls neu gestartet wird. Dieses Verfahren kommt vor allem bei unternehmenskritischen Systemen zum Zuge, die quasi rund um die Uhr zur Verfügung stehen müssen. Der Administrator kann beispielsweise festlegen, dass das Patching in der Nacht oder am Sonntag erfolgt, also außerhalb der Arbeitszeit der Nutzer.

Damit das zu implementierende Server-Patchmanagement korrekt funktioniert, sollten IT-Abteilungen folgende Punkte klären:

  • Ist ein aktuelles Server-Inventory vorhanden, auf das eine Patch-Policy aufsetzen kann?
  • Auf welchem Niveau befindet sich das Absichern der Server (System-Hardening)? Out of the Box oder High Secure?
  • In wessen Händen liegt die Systemverantwortung? Bei der IT-Abteilung, den Administratoren bestimmter Server (Server Owner) oder den Fachabteilungen?
  • Wurde für jedes Serversystem eine funktionierende und zuverlässige BCDR-Lösung (Business Continuity and Disaster Recovery) implementiert? Und wird diese regelmäßig überprüft?
  • Welche "Patch-Policy" ist für das Unternehmen erforderlich?
Gründe für unzureichendes Patching
Diese Fragen machen deutlich, dass sich ein Patchmanagement für Server nicht "mal eben so" einrichten lässt, auch nicht mit Managementwerkzeugen wie Microsoft System Center Configuration Manager (SCCM). Diese Komplexität ist ein Grund dafür, dass IT-Abteilungen häufig das Thema Server-Patchmanagement auf die lange Bank schieben. Wenn viele Serversysteme im Einsatz sind, verlieren Administratoren möglicherweise den Überblick darüber, welche IT-Services von welchen Systemen abhängig sind.

In der Praxis funktioniert das Updaten auch deshalb nicht wie gewünscht, weil oft klare Regeln fehlen, wer für das Patching und das Erstellen von Regeln (Patch-Policy) zuständig ist. Zudem ist der Zeitaufwand für das Testen und die Implementierung von Patches hoch. Das ist vor allem in Unternehmen mit einer Vielzahl unterschiedlicher Serversysteme und IT-Services ein Problem. Ebenso zeitintensiv gestaltet sich die Abstimmung mit den Fachbereichen und Herstellern von Applikationen. Unter diesen Umständen ist für hoch belastete IT-Abteilungen die Versuchung groß, Patchprozesse zu verschieben.
3.04.2019/ln/Markus Köstner, Teamleiter Digital Experience Development bei Axians IT Solutions

Nachrichten

Surface Hub 2S ab Juni verfügbar [18.04.2019]

Microsoft hat weitere Details zum neuen Surface Hub 2S veröffentlicht. Unternehmenskunden in Deutschland können die zweite Generation von Surface Hub ab dem 1. Mai über Fachhändler reservieren. In den USA wird Surface Hub 2S ab Juni zu einem Preis von 9000 Dollar ausgeliefert, kurz danach auch in Deutschland. Das Gerät wurde für den 'Modern Workplace' konzipiert und kann als digitales Whiteboard, Meeting- und Kollaborationstool verwendet werden. [mehr]

Support-Ende für SQL und Windows Server 2008 naht [12.04.2019]

Am 14. Januar 2020 läuft der Support von Windows Server 2008 und 2008 R2 aus. Für die SQL Server 2008 und 2008 R2 endet der Support sogar bereits am 9. Juli 2019. Unternehmen sollten so schnell wie möglich mit der Planung beginnen, wie sie die Server ersetzen können, denn ab diesem Zeitpunkt gibt es keine regulären Sicherheitsupdates mehr. [mehr]

Tipps & Tools

Datenmüll noch besser entsorgen [19.04.2019]

Trotz vermehrt auftretender Kritik nutzen viele IT-Profis nach wie vor das bekannte 'CCleaner', um überflüssigen Datenmüll vom System zu entfernen. Wenn auch Sie ein Fan des Tools sind, können Sie jetzt mit der kostenfreien Erweiterung mit dem Namen 'CCEnhancer' den binären Schrott von weit mehr Programme entsorgen. Das Add-on erweitert den Säuberungsradius nochmals um circa 1000 weitere Anwendungen. Damit sollten sich selbst kleinere Tools rein halten lassen. [mehr]

Auto-Login in Chrome unterbinden [18.04.2019]

Vor allem professionelle Anwender sind mit einer bestimmten Funktion in der aktuellen Version des Chrome-Browsers nicht zufrieden: Der sogenannte 'Automatische Login' meldet jeden Nutzer ungefragt mit dem jeweils aktiven Google-Account im Browser an. Das ist aber in Sachen Datenschutz nicht immer gewünscht. Die Funktion ist in den neueren Ausgaben von Chrome per Default eingeschaltet, lässt sich aber recht einfach deaktivieren. [mehr]

Buchbesprechung

IT-Sicherheit

von Prof. Dr. Claudia Eckert

Anzeigen