11.04.2006, 22:43 Uhr
Erst die Prozesse, dann die Technik
Oft überfordert die Verteilung von Security Patches die IT-Abteilung. Ein Patch-Verteilwerkzeug bringt jedoch kaum den gewünschten Erfolg. Dabei enthält der Begriff Patch Management schon den Schlüssel des Problems: Management ist erforderlich!
Ullrich Stiens leitet als Capability Director die Bereiche Technology Infrastructure und Applications & Integration bei Avanade.
Vor allem Sicherheitslücken in Microsoft-Produkten generieren immer wieder Schlagzeilen, laufen doch mehr als 90 Prozent aller weltweit eingesetzten Desktops unter Windows: Für kein anderes Betriebssystem gibt es diese Bandbreite verfügbarer Hard- und Software. Da Windows-Fehler weltweit eine Vielzahl von Unternehmen betreffen und das Problem eskalieren lassen, sind die Ansprüche und Erwartungen hier besonders hoch. Allerdings waren bei kürzlich ausgenutzten Sicherheitslücken von Microsoft-Software die nötigen Patches bereits Wochen vor dem Angriff verfügbar - und konnten doch nicht rechtzeitig eingesetzt werden. Warum nicht?
Viele Stolpersteine
Der Handlungsbedarf bei Patches ergibt sich aus einem akuten Leck im System, einer Gefahr für die Sicherheit. Oft ist das zu lösende Problem jedoch nur die Spitze des Sicherheits-Eisbergs: Gemäss Untersuchungen von Gartner basieren nur 35 Prozent der Sicherheitsprobleme auf Defekten des Codes, dagegen 65 Prozent auf Fehlkonfigurationen des Systems - es ist oft ungenügend abgesichert, schlecht konfiguriert und enthält unnötige Dienste. Ein weiteres Problem: Die verfügbare Reaktionszeit ist zu knapp. Viele Unternehmen können nicht innerhalb angemessener Zeiten auf einen Angriff reagieren. Tendenziell wird sich die Vorwarnzeit vom Bekanntwerden bis zum Ausbruch bei etwa vier Wochen einpendeln. Betrachtet man die typischen Aktivitäten eines Unternehmens in diesen vier Wochen, dann lässt sich feststellen, dass der weitaus grösste Teil der Zeit mit dem Testen der Patches verbracht wird und nur der kleinste Teil mit deren eigentlicher Verteilung. Sucht man also nach einem Patch-Verteilwerkzeug, optimiert man damit zwar einen wichtigen, aber letztlich jenen Teil, der am wenigsten der Optimierung bedarf. Das weitaus grössere Potenzial liegt dagegen in der Verbesserung der Aktivitäten vor der Verteilung. Leider sind viele Unternehmen hierfür nicht optimal aufgestellt. Mögliche Stolpersteine sind: - Fehlende Information über aktuelle Systeme: Es sollte sich schnell feststellen lassen, wie viele und welche Systeme von dem Problem überhaupt betroffen sein könnten. Hierzu gehört auch die Überwachung des Roll-out-Fortschrittes während des Deployments. - Begrenzte Priorisierung von Systemen und Applikationen: Welches sind die für ein Unternehmen wichtigen Systeme? Welches sind die Systeme, die aus einer Sicherheitsbetrachtung heraus besondere Bedeutung haben? Diese Fragen werden häufig nicht gestellt - geschweige denn beantwortet! - Fehlende Standardisierung: Zwar hilft bereits die Definition von Betriebssystemversion, Hardwareplattform und Standardsoftware-Warenkorb - sie ist aber nicht ausreichend. Ohne umfangreiche Betrachtung der Sicherheitseinstellungen und des Admin-Modells, Regeln zur Entwicklung interner Software, Festlegung von Paketierungsregeln und -formaten kommt man nicht ans Ziel. - Mehrere Versionen von Betriebssystemen und Applikationen: Ein Unterpunkt der Standardisierung. Häufig lässt sich das verwendete Software-Portfolio durch Konsolidierung gleichartiger Produkte deutlich einschränken. - Keine oder schlechte Testmöglichkeiten: Müssen zu viele unterschiedliche Konfigurationen unterstützt werden, wird der Test eines Patches gegen alle anderen Applikationen unmöglich. Über den Ansatz der Standardisierung lässt sich dieser Aufwand bereits massiv reduzieren, er sollte jedoch begleitet sein von definierten und reproduzierbaren Testszenarien und weitestgehender Automatisierung. - Fehlende automatische Softwareverteilung: Kaum zu glauben, aber wahr: Viele Unternehmen haben noch immer keine Infrastruktur, die Patches sicher und zuverlässig innerhalb von 24 Stunden auf allen Rechnern installieren kann. Darüber hinaus existieren häufig Parallelinstallationen verschiedener Hersteller und unterschiedliche Installationsvarianten. - Unzureichend definierte Prozesse: Viele Unternehmen sind unzureichend organisiert, um den «Expressanforderungen» eines Change-Prozesses für Patches gerecht zu werden.
Standards und Prozesse
Viele Unternehmen übersehen bei der Betrachtung des Patch Managements die eigentlichen Ursachen des Problems: Es mangelt an Standards und Prozessen sowie deren Umsetzung. Hinzu kommt, dass Patch Management als singuläre, auf die Verteilung von Fehlerbehandlungsroutinen reduzierte Tätigkeit betrachtet wird, anstatt als integrierter Bestandteil des gesamten Software Managements. Ausreichender Schutz funktioniert nur über permanente und schnelle Aktualisierung aller betroffenen IT-Einrichtungen. Deshalb kommt heute kein Unternehmen ohne eine ganzheitliche Sicherheitsstrategie aus, in die neben der Technik auch die Prozesse und - vor allem - die Menschen eingebunden sind. Erst das Zusammenspiel dieser drei Komponenten gewährleistet den nachhaltig sicheren Betrieb der gesamten Infrastruktur des Unternehmens. In besonderem Masse ist also der Kommunikationsfluss zwischen den beteiligten Abteilungen zu optimieren, die gemeinsam das notwendige Prozedere definieren sollen. Standardisierung von Betriebssystem- und Hardware-Plattform sind ein Anfang. Komplizierter wird das Thema in der Praxis bei den meist etwa 600 bis mehreren tausend in grösseren Unternehmen eingesetzten Applikationen und der daraus resultierenden Vielzahl möglicher Kombinationen je Desktop - ein ausreichender Test vor geplantem Patch-Roll-out ist nach herkömmlichen Methoden in dem zur Verfügung stehenden Zeitfenster oft nicht oder nur mit immensem Aufwand möglich. Deshalb ist es unabhängig vom eingesetzten Betriebssystem notwendig, weit reichende Desktop-Standards zu implementieren, um eine erfolgreiche Patch-Management-Strategie zu realisieren. Eine solche Strategie beinhaltet den Bruch mit liebgewonnenen Gewohnheiten. Denn Administratorenrechte für einzelne Benutzer, ad-hoc-Installation von Fremdsoftware, sonstige Insellösungen und private Downloads gefährden die Sicherheit des Gesamtbetriebs. Auch der Irrglaube vom je nach persönlichem Bedarf zu konfigurierenden Personal Computer lässt sich im Unternehmensumfeld nicht aufrechterhalten. Zu planbarem und damit dauerhaftem Erfolg benötigt man: o Effektives Asset Management o Integriertes Software Management o Strikte Kontrolle von Change-Prozessen o Hohen Grad von Standardisierung der Gesamtplattform o Massnahmen zur Kontrolle, Einhaltung und Wiederherstellung von Standards o Umfassendes Sicherheitskonzept o Automatisierten Ablauf von Test, Update und Übergabe Und vor allem: Eine Unternehmenskultur, die den kontinuierlichen Optimierungsprozess unterstützt und den Sicherheitsgedanken konsequent umsetzt.
Fazit
Das sichere System per se gibt es nicht. Schliesslich ist in der Zeit des Internets quasi jeder Rechner Teil des Netzes - und damit angreifbar. So muss die Sicherheit eines Systems vielmehr integriert betrachtet und als dynamischer Prozess verstanden werden, der kontinuierliche Überwachung, regelmässige Sicherheits-Updates und sicherheitsrelevante Konfigurationen verlangt. Diese integrierte Betrachtungsweise führt neben steigender Sicherheit auch zu Kostenreduktion im Unternehmen - die Total Cost of Ownership je Desktop-Arbeitsplatz sinkt. Durch bessere Nutzung des vorhandenen Equipments sind pro eingesetztem PC jährlich Einsparungen von bis zu 1500 Franken möglich - denn nicht die Anschaffung ist teuer, sondern der nicht optimierte Betrieb. Jede Beeinträchtigung des Systems - von der kurzen Störung bis hin zum Totalausfall - kostet Zeit, Geld und im schlimmsten Falle Kunden. Deshalb: Nicht an der falschen Stelle sparen, auch wenn die Security auf den ersten Blick für das Unternehmen keinen Profit erwirtschaftet, sondern in sinnvolles Software Management investieren - und bis zu 50 Prozent Kosten sparen!
Ullrich Stiens