Fachartikel

Sicherheit in der Software Supply Chain

Die Bereitstellung einer Software auf Laptop, Tablet oder Handy bietet viele sicherheitsrelevante Fallstricke. Um die Kontrolle über die Softwarelieferkette zu behalten, müssten Unternehmen jeden Hersteller täglich auf Veröffentlichungen prüfen und jedes einzelne Betriebssystem- und Anwendungspaket testen. Eine Sisyphusarbeit, für die in der Praxis oft die Zeit fehlt. Der Fachbeitrag im Web zeigt, inwieweit Managed-Service-Angebote hier Entlastung bieten und helfen können, die IT-Sicherheit zu verstärken.
Die Softwarelieferkette ist ein wichtiger Bestandteil von Unified Endpoint Management (UEM).
Cyberattacken werden immer ausgefeilter und stellen die Unternehmens-IT vor große Herausforderungen – nicht zuletzt bei der Bereitstellung von Software. Das A und O für die IT-Sicherheit sind dabei aktuelle Versionsstände und Patchstatus auf allen Endgeräten. Damit Administratoren Software-Updates besser einplanen können, veröffentlichen einige Hersteller wie Microsoft ihre Patches regelmäßig an festen Terminen, den sogenannten Patchdays.

Für viele andere Geschäftsanwendungen existiert diese Regelmäßigkeit jedoch nicht. Hier ist die IT stärker gefordert: Sie müsste täglich kontrollieren, ob es für die im Unternehmen eingesetzte Software sicherheitsrelevante Patches oder Updates gibt und diese zeitnah ausrollen. Vor der Verteilung auf PC, Laptop oder Smartphone sollte jede Software zunächst auf Herz und Nieren geprüft werden. Denn bei nahezu allen Applikationen treten hin und wieder Fehler bei der Installation auf. Aktuelles Beispiel ist der Microsoft Patchday vom April 2019. Hier verursachte die Installation von Updates mit Sophos Endpoint Protection erhebliche Probleme an den Endpunkten. Das zeigt: Überprüfung, Test, Deployment – ohne Unterstützung kann die IT dies kaum leisten.
Prüfung durch den Profi
Abhilfe können hier Managed-Service-Angebote für mobile und stationäre Endgeräte schaffen. Denn: Routineaufgaben wie die tägliche Suche nach Updates müssen nicht zwingend inhouse erledigt werden. Sie lassen sich relativ einfach outsourcen. Ein externer Anbieter verifiziert dann täglich den aktuellen Versionsstand für mehrere Hundert geschäftsrelevante Standardapplikationen, vom einfachen PDF-Reader bis hin zur komplexeren Büro-Applikation. Sämtliche neuen Betriebssystem- und Anwendungspakete sowie alle Updates und Patches durchlaufen dort ein standardisiertes Testverfahren.

Zunächst durchleuchten die stets aktuellsten Virenscanner die Software auf Schadcode. Anschließend wird aus dem ursprünglichen Softwarepaket alles entfernt, was nicht zur Kernapplikation gehört. Hierzu zählen Antiviren-Tools, Browser und Toolbars ebenso wie Messenger- oder Mailsoftware für Smartphones. Für kundenspezifische Anwendungen, wie beispielsweise HR- oder ERP-Programme, können diese Services häufig auch bereitgestellt werden.

Managed Services sichern die Software Supply Chain, entlasten die IT und unterstützen einen reibungslosen IT-Betrieb.

Im nächsten Schritt prüft der Managed-Service-Provider die Software auf eventuelle Probleme bei Installation und Kompatibilität. Dazu installiert er sie im Testlabor auf verschiedenen Geräten mit allen derzeit unterstützten Betriebssystemen. Nur Programme, die den gesamten Prozess ohne Fehler durchlaufen, werden zur Verteilung über einen Clouddienst freigegeben.

Der Einsatz von Managed Services kann die Sicherheit erheblich erhöhen. Zugleich entlastet er die IT, wie das folgende Rechenbeispiel zeigt: Bei 300 Clients sind durchschnittlich zehn Anwendungen mit etwa zehn Updates pro Jahr zu prüfen und zu paketieren. Bei einem Arbeitsaufwand von zwei Stunden pro Update ergibt sich ein Zeitaufwand von 200 Arbeitsstunden. 200 Stunden wertvolle Arbeitszeit, die der IT-Administrator dank Managed Services für andere Aufgaben nutzen kann.
8.05.2019/ln/Benedikt Gasch, Direktor Produkt Management bei DeskCenter Solutions

Nachrichten

BSI untersucht Blockchain-Technologie [23.05.2019]

Spätestens der finanzielle Höhenflug der Kryptowährung Bitcoin im Jahr 2017 hat dazu geführt, dass auch außerhalb der Fachwelt über die Blockchain diskutiert wurde. Nachdem das BSI bereits im Februar 2018 in einem Eckpunktepapier grundsätzliche Fragestellungen im Zusammenhang mit der Blockchain untersucht hat, legt die nationale Cyber-Sicherheitsbehörde nun eine umfassende und tiefgehende Analyse der Blockchain-Technologie vor. [mehr]

Warteschleifen für verdächtige E-Mails [23.05.2019]

Die Dunkel GmbH ergänzt ihr Sicherheitsprogramm "Safe Cascade by Dunkel" um eine 12-Stunden-Sperrfrist für E-Mails, die laut Scanner virenfrei sind, aber verdächtige Anhänge enthalten. Durchläuft eine Mail erfolgreich den bisherigen Prüfparcours, lässt wegen ihrer Anlage aber dennoch auf Risiko schließen, greift das neue Feature: Sie verharrt in einer Zwangspause. Stuft der Algorithmus sie nach Ablauf der Frist tatsächlich als bösartig ein, wird sie vernichtet und nicht in das Postfach des Empfängers geleitet. [mehr]

Tipps & Tools

Ubuntu-VM in Citrix erstellen [19.05.2019]

In Citrix-Umgebungen lassen sich unter Umständen nicht alle Applikationen als sogenannte 'Published Apps' bereitstellen, da es Abhängigkeiten zwischen Anwendungen gibt oder diese teils miteinander interagieren müssen, wofür ein kompletter Desktop benötigt wird. Möglicher Ausweg kann dann sein, für bestimmte Nutzer dedizierte Linux-VMs auf Basis von Ubuntu 16.04 zur Verfügung zu stellen, die per Machine Creation Services aus einem gemeinsamen Image erzeugt werden. Die Vorgehensweise dabei ist jedoch nicht ganz einfach. [mehr]

Jetzt erhältlich: Sonderheft Virtualisierung [8.04.2019]

Lange erwartet, jetzt endlich frisch aus der Druckerei: Das IT-Administrator Sonderheft 'Virtualisierung' wird seit einigen Tagen ausgeliefert und bietet IT-Verantwortlichen auf 180 Seiten Best Practices zur Planung und Umsetzung virtualisierter Server, Netze, Speicher, Anwendungen und Clients. Ordern Sie jetzt, und Sie haben das Heft in Kürze auf dem Schreibtisch. Abonnenten bestellen wie immer zum Vorzugspreis. [mehr]

Buchbesprechung

IT-Sicherheit

von Prof. Dr. Claudia Eckert

Anzeigen