Sonderbeitrag

Automatisiertes Patch-Management: Der Weg aus der Patch-Hölle

Michael Bernau
Image goes hereMichael Bernau

Die Komplexität der IT nimmt weiter zu. Als ob die Unternehmen damit nicht schon genug zu tun hätten, sind sie nun auch mit mobilen Systemen konfrontiert, die mit ihrer kaum noch überschaubaren Vielfalt alles noch schwieriger machen. Und als wäre das noch immer nicht genug, bringen die Mitarbeiter neuerdings auch noch eigene Geräte mit – Stichwort BYOD. In so einem Umfeld ist es für die IT-Abteilungen nicht einfach, die nötige Kontrolle zu behalten, für eine konsistente Administration und effiziente Prozesse zu sorgen, und nicht zuletzt die Sicherheit von Daten und Anwendungen zu gewährleisten.

Komplexe Systeme verursachen in der Regel einen erheblichen Overhead für die Systemverwaltung. Schon vor einiger Zeit hat IDC festgestellt, dass in der IT rund 70 Prozent der Arbeitszeit auf Wartung und Administration entfällt, so dass für innovative Aufgaben nur noch 30 Prozent bleiben. Vermutlich sind diese Zahlen noch optimistisch: so hat eine Untersuchung von Dell ergeben, dass mancherorts 80 Prozent der Zeit allein auf Updates entfallen.

Ein wesentlicher Faktor ist dabei das Einspielen von Patches. Das ist zwar eine Arbeit, die man spontan nicht unbedingt als produktiv und innovativ bezeichnen würde, sie ist aber dennoch unerlässlich. Patchen ist sogar unternehmenskritisch, weil nicht gepatchte Systeme in Unternehmensnetzen eine echte Sicherheitslücke sind. Einer Studie des National Institute of Standards and Technology (NIST) zufolge haben 90 Prozent der erfolgreichen Angriffe gegen Unternehmen bekannte Schwachstellen genutzt und hätten verhindert werden können, wenn die Systeme richtig gepatcht gewesen wären.

In vielen Fällen erfolgt das Patchen jedoch nicht zentral, was ebenfalls zu Problemen führen kann. Abgesehen vom höheren Aufwand ergeben sich daraus zusätzliche Sicherheitsrisiken, weil es einfach zu lange dauert, bis wirklich jedes System erfasst ist. Unternehmen haben hier immer das Risiko, zumindest zeitweise hinterherzuhinken oder ungeprüfte Patches zu verwenden. Angesichts der Vielzahl von Patches, die heute nötig sind, müsste eine IT-Abteilung ohnehin kontrollieren, ob die Nutzer beziehungsweise Abteilungen ihren Aufgaben hier auch tatsächlich zeitnah nachkommen. Allein Microsoft veröffentlicht zum Beispiel in den monatlichen "Patch Tuesday"-Bulletins in der Regel mehr als ein Dutzend kritische Änderungen; dazu kommen Out-of-Band-Patches, Updates von anderen Software-Anbietern und solche für Hardware, Firmware und Entwicklungssysteme. Und das für Desktop-Computer und Server, Smartphones und Tablets, sowie die entsprechenden Anwendungen. Dieser Aufwand ist letztlich nicht mehr dezentral und manuell, sondern nur noch zentral und automatisch auf effiziente und sichere Weise zu bewältigen.

Die Web-Oberfläche des KACE-Verwaltungs-Centers lässt sich unabhängig vom Betriebssystem nutzen und bietet eine übersichtliche Darstellung aller Clients. (Quelle: Dell)

Tatsächlich nutzen mehr und mehr Unternehmen Systeme für ein zentrales Patch-Management. Die können diese Aufgabe zuverlässiger und sicherer erledigen. Automatisierte Patches können zum Beispiel auch die wachsende Zahl von Exploits aufdecken, die sich speziell gegen Systeme richten, bevor diese aktualisiert wurden. Auch wenn sich die Security-Branche verstärkt um die "Zero-Day"-Exploits bemüht, also um Sicherheitslücken für die Hersteller noch keine Patches bereitgestellt haben, so können sich Hacker und Cyber-Kriminelle immer wieder Zutritt zu nicht gepatchten Systemen verschaffen – sogar noch lange nachdem die Patches veröffentlicht wurden. Schwierigkeiten können sich außerdem ergeben, wenn Unternehmen nicht getestete Patches verwenden, die sich im produktiven Betrieb nicht mit anderen Anwendungen oder Systemen vertragen.

Für Unternehmen kann ein unkoordiniertes Vorgehen zu Störungen im IT-Betrieb oder zu Ausfallzeiten führen. Zur Minimierung solcher Risiken sollten Unternehmen Patches immer auch testen oder mit einem Anbieter zusammenarbeiten, der ihnen entsprechend getestete Patches zur Verfügung stellt. Nicht aktualisierte Systeme sollten unter Quarantäne gestellt werden, bis die Patches getestet und eingespielt sind.

Vorteile durch automatisiertes Patch-Management

Natürlich ist eine Patch-Management-Lösung zunächst mit Kosten verbunden, doch die Vorteile überwiegen den Aufwand für die Implementierung solcher Tools. Automatisierung reduziert die Sicherheitsrisiken und die Ausfallzeiten durch ungetestete Updates. Es vermeidet auch unproduktive Arbeiten, weil die Patches nicht mehr während der Arbeitszeit installiert werden müssen. Die Patches werden automatisch implementiert, also ohne manuelle Eingriffe und Überwachung.

Die Nutzer verfügen dann über Apps und Geräte, die immer aktuell sind, auch wenn das IT-Team nicht vor Ort ist, beispielsweise bei räumlich getrennten Niederlassungen. Dabei können die Systeme sogar abgeschaltet sein, weil das Patch-Management sie selbstständig aktivieren kann, um sie über Nacht auf den neuesten Stand zu bringen. End-Anwender merken von dem ganzen Vorgang dann in der Regel nichts.

Die Automatisierung des Patch-Managements bietet der IT-Administration damit eine ganze Reihe von messbaren Vorteilen:

Da jede IT-Landschaft letztlich singulär ist, kann es eine einheitliche Herangehensweise genauso wenig geben wie ein einziges Patch-Management-System, das alle Anforderungen eines jeden Unternehmens erfüllt. Ein gutes Patch-Management-System muss sich daher auch leicht an aktuelle Erfordernisse anpassen lassen. Darüber hinaus muss es die Erstellung von Templates unterstützen, damit wiederholte Prozesse auch innerhalb des Patch-Management-Systems automatisiert werden können.

Analysten haben herausgefunden, dass ein zentrales Patch-Management die Zeit für die Bereitstellung von Patches oder die Aktualisierung von aktualisieren Security- Software um bis zu 80 Prozent reduzieren kann. Es ergibt sich für die IT also eine deutliche Zeit- und Kostenersparnis. Der eigentliche Vorteil liegt aber neben dieser Kosten- und Zeitersparnis vor allem in einer größeren Sicherheit, die sich durch die schnellere und lückenlose Aktualisierung der Systeme ergibt.

Der Autor Michael Bernau ist Brand Manager bei der Dell Software Group DACH


Artikel wurde zuletzt im Juni 2013 aktualisiert