Dadurch sind alle Systeme stets auf demselben Stand. Das wiederum senkt das Risiko, dass Sicherheitslücken übersehen werden. Ein wichtiger Faktor in diesem Zusammenhang ist die kürzere Reaktionszeit: Dank eines automatisierten Patchmanagements lassen sich Updates schneller installieren. Das gibt Angreifern weniger Raum, um Cyber-Attacken auf Server zu starten.


Grundsätzlich müssen eine verlässliche Inventur und ein Reporting der Patchstände vorhanden sein. Denn nur dann weiß ein Systemverwalter jederzeit, welche Patches wann implementiert wurden. Zum Einsatz sollten zudem Datenmodelle kommen, die ein erweitertes Monitoring und Reporting ermöglichen. Die Dokumentation der Abläufe muss revisionssicher erfolgen, sodass nachvollziehbar ist, bei welchem System wann welche Patches installiert wurden und ob es Änderungen im Ablauf des Patchvorgangs gab. Stellt das Werkzeug Templates zur Verfügung, lässt sich der Patchmanagement-Prozess noch einfacher verwalten. Darüber hinaus sollte sich das Einspielen und Verwalten von Patchdateien weitgehend automatisieren lassen. Bietet die Lösung Self-Services, können technisch versierte Kollegen in den Fachabteilungen Aufgaben im Patchmanagement übernehmen.

Ausgereifte Werkzeuge zeichnen sich daneben durch eine periodische Re-Evaluierung aus. Hierbei wird geprüft, ob in der Vergangenheit installierte Patches noch vorhanden sind oder erneut installiert werden müssen. Als praxisrelevant erweist sich auch, individuell den Neustart von Servern festzulegen. Diese Option stellt sicher, dass das Patching keine wichtigen IT-Dienste beeinträchtigt. Eine Patchmanagement-Lösung muss sich zudem daran messen lassen, dass es die Zuständigkeiten, welcher Administrator für welche Server verantwortlich ist, transparent dokumentiert. Zudem sollte die Möglichkeit bestehen, diese Verantwortung an andere Mitarbeiter zu delegieren, etwa in Urlaubszeiten oder bei Erkrankung des Administrators.


Im Praxiseinsatz bewährt
Zu den Lösungen, die die aufgeführten Kriterien für ein modernes Patchmanagement erfüllen, zählt beispielsweise myOperations Patch Management von Axians. Das Tool setzt auf der Microsoft-System-Center-Erweiterung myOperations Portal des Abieters auf. Bei diesem Basisportal handelt es sich um ein flexibles Web-Application-Framework für diverse Einsatzfelder, etwa das IT-Change-Management, IT-Service-Request-Fulfilment, IT-Incident-Management sowie das Configuration- und Security-Management. Die Verwaltung von Benutzer- und User-Gruppen erfolgt über Microsofts Active Directoy.

Konkret kann die Abteilungsleiterin der Einkaufsabteilung nun selbst entscheiden, wann Patches ausgeführt werden sollen. Wäre ein solches Server-Patchmanagement nicht vorhanden, würde das die IT-Abteilung entscheiden. Dies könnte dazu führen, dass wichtige Geschäftsvorgänge unterbrochen werden, weil Patches auf Servern installiert und die Systeme anschließend neu gestartet werden.

Eine ausgereifte Lösung dagegen sollte es den Mitarbeitern überlassen, die für eine Applikation zuständig sind. Diese können dann das optimale Zeitfenster für ein Update selbst definieren, beispielsweise einmal pro Monat oder Woche, aber auch individuell und entsprechend der Sicherheitslage. Veröffentlicht ein Software-Anbieter beispielsweise einen "Not-Patch", der eine besonders gefährliche Sicherheitslücke schließt, ist dafür ein separates Zeitfenster definierbar.

Fazit
Das immer wieder vorgebrachte Argument, das Patchen von Servern sei aufwendig und komplex, ist längst nicht mehr zu halten. Denn heute ist ausgereifte Patchmanagement-Software verfügbar, die sogar "Laien-Administratoren" in den Fachabteilungen dazu befähigt, Anwendungen auf Servern auf den neuesten zu Stand bringen. Diese Lösungen entlasten die IT-Abteilung und stellen sicher, dass Patches nur dann installiert werden, wenn dies mit den Arbeitsprozessen vereinbar ist.

<< Vorherige Seite

Seite 2 von 2

ln/Markus Köstner, Teamleiter Digital Experience Development bei Axians IT Solutions