Patch-Management-Strategien für Systemverwalter

    Secunia - Aufnacher Security_ScanEigentlich sollte das regelmäßige Einspielen von Software-Updates und Sicherheits-Patches auf IT-Systemen und Mobilgeräten eine Selbst­vers­tänd­lich­keit sein, und zwar sowohl für private Nutzer als auch Unternehmen. Doch Studien von IT-Security-Spezialisten wie Secunia sprechen eine andere Sprache.

    Im vierten Quartal 2012 waren auf einem typischen Windows-PC in Deutschland im Schnitt 74 Programme von 24 unterschiedlichen Anbietern installiert.Dies schließt das Betriebssystem mit ein, also vorzugsweise Microsoft Windows, zudem Office-Anwendungen, Treiber und ergänzende Programme für Peripheriegeräte wie Drucker, Displays, Webcams et cetera, außerdem Tools aller Art. Von den Programmen auf einem Windows-Client-System stammen 51 nicht von Microsoft, sondern von Drittanbietern.

    Nachdenklich stimmt, dass Ende 2012 an die 12,6 Prozent der Rechner unter einer Windows-Version liefen, die nicht regelmäßig gepatcht wurde. Dies betrifft Windows 7, Vista und XP. Dass die Nutzer keine Updates einspielen, ist umso erstaunlicher, als Microsoft an jedem zweiten Dienstag im Monat (dem "Patch Tuesday") Patches für Windows und Microsoft-Anwendungen zur Verfügung stellt. Diese werden im Normalfall automatisch installiert. Wer das nicht möchte, muss somit von Hand die Auto-Update-Funktion von Windows außer Kraft setzen.

    Gefahrenquelle veraltete Software

    Ein weiteres Risiko für Client-Systeme und Server stellen veraltete Programmversionen dar. Diese werden vom Hersteller in der Regel nicht mehr unterstützt. Das bedeutet, dass die Anbieter für solche Software keine Patches mehr zur Verfügung stellen, die Sicherheitslücken schließen. Untersuchungen von Secunia ergaben, dass Ende 2012 trotz dieser Risiken rund 3 Prozent der Software auf deutschen Rechnern nicht auf dem aktuellen Stand war.

    Secunia-Studie - Weit verbreitete Software wird nicht oder zu selten gepatchtBesonders häufig wurden veraltete Versionen von Shockwave Player, des Browsers Mozilla Firefox sowie von Microsoft Office (Versionen 2000 und 2003) eingesetzt. Dadurch erhöht sich das Risiko beträchtlich, dass ein Rechner durch Attacken kompromittiert wird. Zu den Software-Komponenten, von denen laut Secunia 2012 am häufigsten nicht gepatchte Versionen genutzt wurden, zählen der Adobe Flash Player 10.x, die Microsoft-XML-Core Services (MSXML), das Open-Source-Office Paket OpenOffice 3.x sowie Java JRE 1.6/6.x.

    Ungepatchte Systeme sind ideale Angriffsziele

    Für Hacker sind Unternehmen und Privatanwender, die es mit dem Patchen von Endgeräten und Servern nicht so genau nehmen, ein gefundenes Fressen. Ein Großteil der bekannten Angriffsverfahren zielt auf Systeme, die bekannte Sicherheitslücken aufweisen – und für die bereits Patches zur Verfügung stehen. Nach Einschätzung des Computer Emergency Response Teams (CERT) könnte die überwiegende Zahl der Angriffe auf Endsysteme und Server verhindert werden, wenn die Nutzer beziehungsweise Systemverwalter regelmäßig und zeitnah Updates auf den Systemen einspielen würden. Für zwei Drittel der Sicherheitslücken in Programmen werden noch an dem Tag, an dem sie bekannt werden, Patches veröffentlicht. In 75 Prozent der Fälle stehen Updates innerhalb von zehn Tagen bereit.

    Besonderer Beliebtheit erfreuen sich Drive-by-Angriffe. In diesem Fall wird der User durch eine Spam-E-Mail oder Suchmaschinen-Ergebnisse dazu verleitet, eine mit Schadsoftware hinterlegte Web-Seite aufzurufen. Dabei kann es sich um Seite handeln, die Cyber-Kriminelle eigens zu diesem Zweck eingerichtet haben und die meist nur wenige Stunden oder Tage lang aktiv ist. Zudem hacken Angreifer Web-Sites von unverdächtigen Firmen und platzieren dort ohne Wissen der Unternehmen Malware.

    Drive-by-Angriff nutzen Sicherheitslücken von Browsern aus, um Schadsoftware alleine durch das Aufrufen beziehungsweise Betrachten von Web-Seiten auf den Zielrechner zu übermitteln. Um solche Angriffe zu unterbinden, genügt es nicht, den Browser auf dem neuesten Stand zu halten. Auch Plug-ins wie Acrobat Reader, Flash, Java oder Bildbetrachter müssen regelmäßig überprüft werden.

    Warum User auf Patching verzichten

    Warum Nutzer auf regelmäßige Updates verzichten, hat unterschiedliche Gründe. So verwenden einige User gecrackte Versionen von Betriebssystemen oder Anwendungen. Durch das Einspielen von Updates wird solche illegale Software in den meisten Fällen unbrauchbar. Ein weiterer Faktor, der speziell in Unternehmen eine Rolle spielt, ist der Einsatz von "maßgeschneiderten" oder von Alt-Anwendungen. Bereits das Einspielen eines Windows-Service-Packs kann dazu führen, dass solche Applikationen nicht mehr funktionieren. Daher verzichten manche Unternehmen darauf, Systemumgebungen zu aktualisieren – eine höchst fragwürdige und gefährliche Vorgehensweise.

    Der wichtigste Grund für Nachlässigkeiten beim Patching ist jedoch die Komplexität dieses Vorgangs. Bei einem typischen Windows-Client-Rechner mit 74 Software-Paketen von 24 unterschiedlichen Anbietern kommen unterschiedliche Update-Mechanismen zum Einsatz. Microsoft setzt auf ein weitgehend automatisiertes Verfahren (Auto-Update). Bei Programmen wie Java, Office-Paketen wie OpenOffice und LibreOffice oder den Produkten von Adobe hat der Nutzer immerhin die Möglichkeit, eine automatische Update-Funktion zu aktivieren.

    Secunia-Studie - Großteil der Sicherheitslücken befindet sich in Software von DrittherstellernViele Programme verzichten jedoch auf solche Hilfsmittel. In diesem Fall bleibt dem Anwender nur die Möglichkeit, im "Handbetrieb" nach neuen Software-Versionen zu suchen. Teilweise ist es dazu sogar erforderlich, die Support-Seiten des entsprechenden Software-Herstellers aufzu­suchen – ein zeitaufwändiges Verfahren. Es ist nachvollziehbar, dass Anwender diesen Aufwand scheuen und Sicherheitslücken durch ungepatchte Programme in Kauf nehmen.

    Problematisch ist jedoch, dass laut Secunia auf die 50 Programme auf einem Windows-Rechner, die von Drittanbietern stammen, rund 70 Prozent der Schwachstellen (Vulnerabilities) entfallen. Während 6 bis 12 Prozent dieser Software eine oder mehrere Sicherheitslücken aufweisen, sind es beim Betriebssystem (Windows) und Produkten von Microsoft nur 2 Prozent. Das bedeutet: Ausgerechnet die heterogene "Software-Landschaft", die von Drittanbietern stammt, weist das höchste Sicherheitsrisiko auf und sollte in Bezug auf das Patching mit besonderer Sorgfalt behandelt werden.

    Lösung: "Intelligentes" Patching

    Speziell für Unternehmen mit vielen Rechnern, auf denen zudem unterschiedliche Programme im Einsatz sind, ist der Aufwand schlichtweg zu groß, ständig Updates für die gesamte Software-Palette durchzuführen. Dieses Patching nach dem Gießkannenprinzip belastet die IT-Abteilung und das Firmennetzwerk über Gebühr.

    Einen Ausweg bietet ein "intelligentes Patching". Die Basis bildet eine Analyse des Gefahrenpotenzials der einzelnen Sicherheitslücken in Programmen. Darauf aufbauend lässt sich eine Patching-Strategie entwickeln, die sich an der tatsächlichen Gefährdung durch diese Lücken orientiert. Welche Programme welche Arten von Sicherheitslücken aufweisen und welche Software Patches erforderlich sind, lässt sich beispielsweise mithilfe von Secunias Patch Management Software Corporate Software Inspector (CSI) ermitteln.

    Gewichtung nach Sicherheitsrisiko oder Nutzung

    Eine Patching-Strategie eines Unternehmen mit Windows-Rechnern, Microsoft Office sowie insgesamt 200 Anwendungen von Drittanbietern könnte folgendermaßen aussehen: Die Microsoft-Software wird regemäßig mithilfe der Auto-Update-Funktion von Microsoft aktualisiert. Weiterhin stehen dem Unternehmen Ressourcen für das Patching von jeweils zehn weiteren Anwendungen zur Verfügung. Die Auswahl dieser Applikationen kann nach folgenden Kriterien erfolgen:

    • Umgehend aktualisiert werden die zehn Programme, die besonders gefährliche "Vulnerabilities" aufweisen. Damit lassen sich nach Erfahrungswerten von Secunia mehr als 70 Prozent des Gesamtrisikos beseitigen. Diese Patching-Strategie passt sich somit dynamisch an die Gefährdungslage an.
    • Gepatcht werden die zehn Anwendungen, die am häufigsten genutzt werden. Dadurch wird das Sicherheitsrisiko nur um 31 Prozent reduziert. Dieser Ansatz ist eher statisch.

    Der Vorteil eines solchen selektiven Vorgehens ist, dass es mit einem überschaubaren Aufwand einen beträchtlichen Teil der Sicherheitslücken schließt. Möchte ein Unternehmen das Sicherheitsniveau erhöhen, etwa aus Compliance-Gründen, kann es die Patching-Strategie entsprechend erweitern. Sollen beispielsweise 80 Prozent der Sicherheitsrisiken eliminiert werden, erfolgt eine Ausweitung des Patchings auf die zwölf Applikationen mit den gefährlichsten Schwachstellen – oder auf die 37 am häufigsten genutzt Programme.

    Wichtige Systeme zuerst patchen

    Eine weitere Option besteht darin, Patches zuerst auf besonders wichtigen IT-Systemen einzuspielen. Dazu zählen alle Rechner mit dem Betriebssystem Windows (Server und Clients), Datenbanken wie Oracle, Microsoft SQL und MySQL sowie .NET-Anwendungen. Diese Applikationen sind wegen ihrer großen Verbreitung erfahrungsgemäß für Cyber-Kriminelle besonders interessant. Diese können deshalb auf eine breite Palette von Exploits und anderen Angriffs-Tools für solche Systeme zurückgreifen.

    Secunia - Personal Software Inspector prüft Windows-Programme auf Sicherheit und AktualitätWeniger beliebt bei Hackern sind dagegen Spezialanwendungen sowie die Systemsoftware von Netzwerkkomponenten wie Routern und Switches. Das heißt aber nicht, dass die IT-Abteilung diese Systeme links liegen lassen kann. Allerdings sollten bei diesen Komponenten nur gravierende Sicherheitslücken umgehend geschlossen werden.

    Hilfsmittel: CSI und PSI

    Zum Abschluss noch ein Hinweis auf Tools, die das Patching von Windows-Systemen vereinfachen sollen. Dazu zählen unter anderem GFI LanGuard und Endpoint Security for Business von Kaspersky Lab. Zwei weitere stammen vom Auftraggeber der Studie: das bereits erwähnte Corporate Software Inspector (CSI) und der Secunia Personal Software Inspector (PSI).

    Bei CSI, das in der aktuellen Version 6.0 vorliegt, handelt sich um eine Vulnerability- und Patch-Management-Lösung für Unternehmen. Sie ermittelt, welche Software auf den Rechnern in einem Unternehmensnetz vorhanden ist und prüft, ob Sicherheitslücken und Patches vorhanden sind. Mit CSI kann der Systemverwalter anschließend eine Patching-Strategie entwickeln und umsetzen. Das Programmpaket arbeitet mit gängigen IT-Sicherheits- und Systemmanagement-Lösungen zusammen, beispielsweise Microsoft System Center Configuration Manager (SCCM).

    Personal Software Inspector ist dagegen für private Anwender gedacht. Eine Version mit reduziertem Funktionsumfang steht kostenlos zur Verfügung. Das Programm prüft die vorhandene Software auf einem Windows-System (Windows XP, Vista, 7 und 8). Stößt PSI auf veraltete oder nicht gepatchte Programme, führt es ein Update durch. Auf diese Weise ist sichergestellt, dass Angreifer keine Schlupflöcher vorfinden.

    Keine Kommentare