Nie wieder Sicherheitsupdates versäumen: Patches meistern in 10 Schritten
von Tina Siering
In vielen Fällen sind Schwachstellen in Anwendungen dafür verantwortlich, dass sich Cyberkriminelle Zugang zu Unternehmens- oder Organisationsnetzwerken verschaffen. Für Abhilfe sorgen in der Regel Patches, die Sicherheitslücken schließen und so maßgeblich dazu beitragen, dass Ihre Daten vor erfolgreichen Hackerangriffen geschützt sind. Viele Unternehmen vernachlässigen jedoch das Patch-Management, häufig aus Zeit- oder Ressourcenmangel, und öffnen damit Cyberkriminellen Tür und Tor zu sensiblen Unternehmens- und Kundendaten. Ein schwerwiegender Fehler, den mit einem optimierten Schwachstellen- und Patch-Management vermieden werden kann.
Mangelhaftes Patch-Management: Das sind die Gründe
In einer Studie des US-amerikanischen Ponemon Institutes gaben 57 % der befragten Cyberangriffs-Opfer an, dass die erfolgreiche Attacke durch einen vorhandenen Patch hätte verhindert werden können. Erstaunlich ist dabei vor allem, dass 34 % der attackierten Unternehmen von der Sicherheitslücke anscheinend wussten, sie jedoch nicht behoben hatten. Warum?
Ein Grund, wieso Unternehmen gegen bekannte Schwachstellen nichts rechtzeitig unternehmen, könnte die ständig steigende Anzahl an Sicherheitslücken sein. Wie das Info Security Magazine berichtet, wurden 2020 über 18.000 CVEs in dem CVE-Referenziersystem „Common Vulnerabilities and Exposures“ registriert. Das bedeutet, dass im Durchschnitt täglich 50 neue Sicherheitslücken bekannt werden. Für IT-Verantwortliche wird es daher immer schwieriger, im CVE-Dschungel den Überblick zu behalten. Und angesichts der rasenden Entwicklungsgeschwindigkeit neuer Technologien ist damit zu rechnen, dass die Anzahl der potenziellen Schwachstellen in Zukunft weiter zunehmen wird.
Darüber hinaus sind Patches häufig mit einem hohen Zeitaufwand verbunden. Dabei haben aber nicht nur kleine und mittelständische Unternehmen mit der Durchführung eines effizienten Patch-Managements zu kämpfen – auch große Konzerne schaffen es nicht immer, Sicherheitslücken zeitnah und vor allem rechtzeitig nach Bekanntwerden zu patchen. So waren kürzlich wieder Microsoft-Nutzer von zwei kritischen Sicherheitslücken bedroht: von der Zero-Day-Lücke „Follina“ im Microsoft Support Diagnostic Tool sowie von einer Schwachstelle in der Windows Active Directory.
Das Patch-Release – der Startschuss im Rennen gegen die Hacker
Je mehr Tage bis zu einem Patch ins Land gehen, umso höher ist das Risiko eines erfolgreichen Hackerangriffs. Cyberkriminelle warten nur darauf, dass eine Schwachstelle in einem System an die Öffentlichkeit gelangt, damit sie diese für ihre kriminellen Aktivitäten ausnutzen können. Wenn Sie dann nicht schnell genug handeln und die Sicherheitslücke mit einem Patch schließen, werden die Hacker den Wettlauf gegen die Zeit gewinnen.
Seien Sie sich darüber bewusst, dass Cyberkriminelle immer weniger Zeit benötigen, um einen Angriff auf eine neue Sicherheitslücke auszuführen. Manchmal vergehen zwischen dem Bekanntwerden der Schwachstelle und dem Angriff nur wenige Tage. In nicht wenigen Fällen sprechen sich die Sicherheitslücken in kriminellen Kreisen bereits herum - noch bevor sie veröffentlicht wird.
Scan-Tools wie nmap oder Shodan können Hackern helfen, Angriffsvektoren zu finden und so schlimmstenfalls potentielle Angriffsziele zu definieren. Die Hacker sind Ihnen zu diesem Zeitpunkt den entscheidenden Schritt voraus und nutzen diese Zeit zur wirksamen Schadcode-Entwicklung. Exploits werden teilweise im Darknet für hohe Geldsummen verkauft oder vermietet und so Ransomware-Gruppen zugänglich gemacht.
10 grundlegende Schritte für effektives Patch-Management
Damit Sie Patches innerhalb einer möglichst kurzen Zeitspanne ausrollen können, benötigen Sie ein gutes Patch-Management. Je schneller Sie einen Patch einspielen können, umso mehr Ressourcen bleiben Ihnen, um ggf. weitere Sicherheitsprobleme ausfindig zu machen, zu klassifizieren und letztendlich zu beseitigen. Handelt es sich um ein großes Unternehmensnetzwerk, ist es sinnvoll, ein ganzes Team mit dem Patch-Management zu betrauen. In jedem Fall jedoch ist ein genauer Plan zu definieren, wie ein Patch Schritt für Schritt ablaufen sollte.
Im Folgenden zeigen wir Ihnen, wie Sie in 10 Schritten die Grundlage für ein effektives Patch-Management schaffen:
1. Inventarisierung
Verschaffen Sie sich zunächst einen Überblick über alle Geräte, Anwendungen und Betriebssysteme innerhalb Ihres Netzwerks. In die Inventarisierung sollten Sie auch Softwarelizenzen und -versionen einbeziehen. Damit verhindern Sie, dass ältere, ungenutzte Systeme und Assets übersehen und nicht mehr gewartet werden.
2. Priorisierung
Kategorisieren Sie Ihre Geräte und Systeme nach den Sicherheitsrisiken, die von ihnen ausgehen, und beziehen Sie dabei auch Benutzerrollen mit ein. Bewerten Sie jede einzelne Sicherheitslücke und bestimmen Sie die Dringlichkeit der einzelnen Patches.
3. Zeitplanung
Legen Sie fest, wie, wann und wie oft ein Patch erfolgen soll. Definieren Sie idealerweise für jedes System einen individuellen Patching-Zeitplan und halten Sie die Häufigkeit, die Priorität sowie den Umfang der unterschiedlichen Patches fest. Alternativ können Sie auch Gruppen von Systemen definieren und hierfür gültige Pläne entwickeln. Zudem sollten Sie Wartungsfenster außerhalb von Arbeitszeiten einplanen, um Betriebsausfälle zu vermeiden.
4. Informationsbeschaffung
Informieren Sie sich über die aktuellen Schwachstellen Ihrer Anwendungen und halten Sie sich über zuverlässige News-Feeds regelmäßig auf dem Laufenden. Des Weiteren sollten Sie auf die Patch-Zyklen der Hersteller achten.
5. Testen der Patches
Vor dem eigentlichen Rollout sollten Sie testen, ob ein Patch keine negativen Auswirkungen auf Ihre Systeme hat. Prüfen Sie die Kompatibilität auf einer separaten Testumgebung und halten Sie nach Fehlfunktionen Ausschau.
6. Dokumentation
Dokumentieren Sie alle Änderungen, die durch einen Patch durchgeführt wurden. So stellen Sie sicher, dass Sie schnell reagieren können, wenn der Patch trotz umfangreicher Tests zu Systemproblemen führt.
7. Rollout
Spielen Sie den Patch ein und halten Sie sich dabei an die Richtlinien, die Sie in Schritt 3 definiert haben.
8. Überwachung
Überprüfen Sie, ob ein Patch-Rollout reibungslos funktioniert hat oder womöglich fehlgeschlagen ist. Überprüfen Sie beispielsweise eingehende Helpdesk Nachrichten in diesem Zusammenhang.
9. Reporting
Fertigen Sie Berichte an, um die Patch-Konformität Ihrer Systeme und Geräte gegenüber Kunden und Partnern lückenlos nachweisen zu können.
10. Bewertung und Optimierung
Evaluieren Sie jeden Patch-Prozess und treffen Sie Maßnahmen, um das Patch-Management zu optimieren. Überdenken Sie fortlaufend Ihren Zeitplan und passen Sie ihn bei Bedarf an die aktuellen Entwicklungen an. Technisch überholte Geräte sollten Sie separieren.
Fazit
Das richtige Patch- und Schwachstellen-Management ist für Ihre IT Security extrem wichtig und sollte nicht nachlässig behandelt werden. Die Fülle an Sicherheitslücken und der hohe Zeitaufwand für einen Patch (in Kombination mit mangelnden Ressourcen) erschweren es Unternehmen und Organisationen jedoch zunehmend, die Sicherheitslücken in ihren Systemen zeitnah und somit rechtzeitig zu schließen. Damit Sie Ihre Sicherheitsupdates im Griff haben, sollten Sie ein Patch-Management ausarbeiten, mit dem Sie diese Herausforderungen zuverlässig meistern können.
Hierbei kann zunächst ein geschulter Blick von außen notwendig sein, um den Status Quo der IT-Sicherheitslücken des gesamten Unternehmens zuverlässig zu erfassen. Allgeier secion bietet dieses in Form eines Full Scope Security Audits an, in dem IT-Experten den Ist-Stand Ihrer Cyber Security überprüfen und Sie auf technische, organisatorische sowie prozessuale Schwachstellen aufmerksam machen. Dabei erhalten Sie auch konkrete Handlungsempfehlungen, wie Sie Ihr Patch-Management verbessern oder von Grund auf neu planen können. Ein priorisierter Maßnahmenkatalog sorgt für schnelle Orientierung und hilft Ihnen dabei, die sicherheitsrelevanten Themen in der Reihenfolge ihrer Dringlichkeit anzugehen.