Fachartikel

Sicherheit in der Software Supply Chain

Die Bereitstellung einer Software auf Laptop, Tablet oder Handy bietet viele sicherheitsrelevante Fallstricke. Um die Kontrolle über die Softwarelieferkette zu behalten, müssten Unternehmen jeden Hersteller täglich auf Veröffentlichungen prüfen und jedes einzelne Betriebssystem- und Anwendungspaket testen. Eine Sisyphusarbeit, für die in der Praxis oft die Zeit fehlt. Der Fachbeitrag im Web zeigt, inwieweit Managed-Service-Angebote hier Entlastung bieten und helfen können, die IT-Sicherheit zu verstärken.
Die Softwarelieferkette ist ein wichtiger Bestandteil von Unified Endpoint Management (UEM).
Cyberattacken werden immer ausgefeilter und stellen die Unternehmens-IT vor große Herausforderungen – nicht zuletzt bei der Bereitstellung von Software. Das A und O für die IT-Sicherheit sind dabei aktuelle Versionsstände und Patchstatus auf allen Endgeräten. Damit Administratoren Software-Updates besser einplanen können, veröffentlichen einige Hersteller wie Microsoft ihre Patches regelmäßig an festen Terminen, den sogenannten Patchdays.

Für viele andere Geschäftsanwendungen existiert diese Regelmäßigkeit jedoch nicht. Hier ist die IT stärker gefordert: Sie müsste täglich kontrollieren, ob es für die im Unternehmen eingesetzte Software sicherheitsrelevante Patches oder Updates gibt und diese zeitnah ausrollen. Vor der Verteilung auf PC, Laptop oder Smartphone sollte jede Software zunächst auf Herz und Nieren geprüft werden. Denn bei nahezu allen Applikationen treten hin und wieder Fehler bei der Installation auf. Aktuelles Beispiel ist der Microsoft Patchday vom April 2019. Hier verursachte die Installation von Updates mit Sophos Endpoint Protection erhebliche Probleme an den Endpunkten. Das zeigt: Überprüfung, Test, Deployment – ohne Unterstützung kann die IT dies kaum leisten.
Prüfung durch den Profi
Abhilfe können hier Managed-Service-Angebote für mobile und stationäre Endgeräte schaffen. Denn: Routineaufgaben wie die tägliche Suche nach Updates müssen nicht zwingend inhouse erledigt werden. Sie lassen sich relativ einfach outsourcen. Ein externer Anbieter verifiziert dann täglich den aktuellen Versionsstand für mehrere Hundert geschäftsrelevante Standardapplikationen, vom einfachen PDF-Reader bis hin zur komplexeren Büro-Applikation. Sämtliche neuen Betriebssystem- und Anwendungspakete sowie alle Updates und Patches durchlaufen dort ein standardisiertes Testverfahren.

Zunächst durchleuchten die stets aktuellsten Virenscanner die Software auf Schadcode. Anschließend wird aus dem ursprünglichen Softwarepaket alles entfernt, was nicht zur Kernapplikation gehört. Hierzu zählen Antiviren-Tools, Browser und Toolbars ebenso wie Messenger- oder Mailsoftware für Smartphones. Für kundenspezifische Anwendungen, wie beispielsweise HR- oder ERP-Programme, können diese Services häufig auch bereitgestellt werden.

Managed Services sichern die Software Supply Chain, entlasten die IT und unterstützen einen reibungslosen IT-Betrieb.

Im nächsten Schritt prüft der Managed-Service-Provider die Software auf eventuelle Probleme bei Installation und Kompatibilität. Dazu installiert er sie im Testlabor auf verschiedenen Geräten mit allen derzeit unterstützten Betriebssystemen. Nur Programme, die den gesamten Prozess ohne Fehler durchlaufen, werden zur Verteilung über einen Clouddienst freigegeben.

Der Einsatz von Managed Services kann die Sicherheit erheblich erhöhen. Zugleich entlastet er die IT, wie das folgende Rechenbeispiel zeigt: Bei 300 Clients sind durchschnittlich zehn Anwendungen mit etwa zehn Updates pro Jahr zu prüfen und zu paketieren. Bei einem Arbeitsaufwand von zwei Stunden pro Update ergibt sich ein Zeitaufwand von 200 Arbeitsstunden. 200 Stunden wertvolle Arbeitszeit, die der IT-Administrator dank Managed Services für andere Aufgaben nutzen kann.
8.05.2019/ln/Benedikt Gasch, Direktor Produkt Management bei DeskCenter Solutions

Nachrichten

Hardwarebasierte Sicherheit [6.12.2019]

IGEL hat die neue Version seines Thin-Clients, dem "UD7" vorgestellt, das ab sofort die integrierte AMD-Secure-Processor-Technologie enthält. Diese bietet laut Hersteller ein dediziertes Chain-of-Trust-Sicherheitssystem, das den Schutz der Endgeräte weiter erhöhen und die Sicherheitsrisiken weiter reduzieren soll. [mehr]

TeamViewer integriert Patch-Management-Funktion [5.12.2019]

TeamViewer erweitert seine Software "Monitoring & Asset Management" um eine Patch-Management-Funktion. Damit sollen besonders kleine und mittelständische Unternehmen darin unterstützt werden, ihre Software auf dem aktuellen Stand zu halten. Häufig stellen veraltete Programme nämlich ein Einfallstor für Angreifer dar. [mehr]

Tipps & Tools

Vorschau November 2019: Container & Anwendungsserver [21.10.2019]

Das Bereitstellen von Anwendungen ist eine zentrale Administrationsaufgabe und Fehler hierbei fallen Mitarbeitern wie Kunden unmittelbar auf. Eine wichtige Rolle spielt das Fundament für Applikationen, die Serverlandschaft. In der November-Ausgabe beleuchtet IT-Administrator das Thema "Container & Anwendungsserver". Darin lesen Sie etwa, welche Best Practices Sie bei Microsofts IIS nutzen sollten und wie Sie Container-Logdaten mit Fluentbit auswerten. Außerdem werfen wir einen Blick auf die Orchestrierung von Containern und die Kubernetes-Alternative Nomad. In den Tests tritt der Solarwinds Server & Application Monitor an. [mehr]

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Buchbesprechung

Handbuch Online-Shop

von Alexander Steireif, Rouven Rieker, Markus Bückle

Anzeigen