Schwachstellenmanagement braucht Patching
Pflaster für offene Stellen
Fehler im Betriebssystem und in den Anwendungen bilden eine der Hauptursachen für die Angreifbarkeit von IT-Systemen. Im Rahmen eines umfassenden Sicherheitsmanagements nimmt deswegen das Patch-Management einen wichtigen Platz ein.
Firewalls, Antivirus-Software oder Intrusion-Prevention-Lösungen allein reichen nicht aus, um
IT-Systeme vor Attacken zu schützen. Schwachstellen, die Unternehmen nach außen hin angreifbar
machen, basieren häufig auf Fehlern im Betriebssystem oder in den Anwendungen. Patches, die der
Hersteller selbst veröffentlicht, sind am besten dafür geeignet, diese Lücken zu schließen. Denn
dieser verfügt als einziger über den Quellcode des Betriebssystems beziehungsweise der Anwendung.
Dies versetzt den Hersteller nicht nur in die Lage, den eigentlichen Fehler zu beheben. Vielmehr
kann er zudem die Auswirkungen der Korrekturmaßnahmen auf andere Komponenten der Software
analysieren.
Den Stellenwert von Patches verdeutlicht das Beispiel der Angriffswelle von Computerwürmern und
Viren wie Blaster, der innerhalb weniger Tage Hunderttausende Maschinen infizierte. Er nutzte eine
bekannte Schwachstelle aus, für die es bereits ein Monat vorher der Patch vorlag – doch viele
Administratoren hatten ihn nicht zeitgerecht aufgespielt. Dies zeigt, dass das konsequente
Aufspielen von Patches einen wichtigen Bestandteil eines umfassenden Schwachstellenmanagements
darstellt.
Oft komplexe Umsetzung
Wenn man unterschiedliche Patches im Detail betrachtet, fällt auf, dass einige Patches
Fehlerkorrekturen für mehrere Probleme oder für unterschiedliche Softwarekomponenten beinhalten.
Dies gestaltet die Durchführung des Patch-Managements komplexer. Erschwerend kommt hinzu, dass
mitunter verschiedene Patches die gleichen Dateien austauschen oder aber aufeinander aufbauen.
Deshalb ist sowohl die Reihenfolge der Patch-Installation als auch die Beachtung von eventuell
überflüssig gewordenen Patches wichtig. Denn das Einspielen veralteter Patches kann das System in
einen instabilen Zustand überführen. Eine Patch-Managementlösung muss somit recht komplexe
Zusammenhänge erkennen und verarbeiten, um im Unternehmenseinsatz bestehen zu können.
Das Patch-Management ist deshalb kein einfacher Prozess, den ein Administrator manuell
durchführen könnte: Besonders in Microsoft-Umgebungen mit mehreren Servern ist er auf Tools
angewiesen, die ihn unterstützen. Die Redmonder geben jeden Monat ein Sicherheits-Bulletin im
XML-Format mit den neuesten Patches heraus. Diese XML-Datei bildet die Basis für jedes
Patch-Management in Windows-Umgebungen. Microsoft rät, die Patches möglichst schnell aufzuspielen,
um Angreifern das Handwerk zu legen. Häufig veröffentlicht Redmond mehrere Update-Dateien pro
Patch, sodass der richtige Patch manuell nur in mühsamer Arbeit auszumachen ist. Zwar bietet die
Windows-Company kostenlose Tools für die Systemanalyse und -aktualisierung an, doch die Funkti
onalität dieser Angebote reicht für einen umfassenden Schutz nicht aus.
Abhilfe schaffen hier Tools mit einer breiteren Funktionsvielfalt, die sich an Anforderungen der
Anwender wie Genauigkeit und Aktualität messen lassen müssen. Angebote verschiedener Hersteller
bieten eine Ergänzung zu den Windows-Bordmitteln. Einige dieser Lösungen benutzen für den
Patch-Prozess ein Lizenzprodukt von Shavlik, einem Unternehmen, das seit vielen Jahren eng mit
Microsoft zusammenarbeitet. Das Shavlik-Tool unterstützt den Administrator durch verschiedene
Techniken darin, seine Systeme zu scannen, die benötigten Patches aufzuspielen und nochmals auf
Korrektheit zu überprüfen.
Mehrstufiger Ablauf
Das Patch-Management erfolgt in mehreren Schritten: Zuerst führt das Tool einen Scan aller zu
verwaltenden Systeme im Netzwerk durch, um den Patch-Status zu ermitteln. Dabei sollte der
Administrator die Möglichkeit haben, die Server nach bestimmten Kriterien für die Analyse und das
folgende Aufspielen der Patches zusammenzufassen. Der Administrator registriert dazu von der
Managementkonsole aus Gruppen zu verwaltender Maschinen. Die Gruppierung sollte nach selbst
gewählten Kriterien erfolgen können: Als Option bieten sich das das Scannen nach Domänen,
Active-Directory-Strukturen oder auch nach IP-Adressen an.
Genauigkeit beim Identifizieren und beim Reporting fehlender Patches ist eine der
Hauptanforderungen an ein solches Werkzeug. Um dieser Forderung zu genügen, sollte eine Methode
vorhanden sein, um die Registry und Systemdateien automatisch mit Werten der Patch-Datenbank zu
vergleichen. Die Software kennzeichnet dann alle Werte, die nicht mit der Datenbank übereinstimmen
und zeigt diese als fehlende oder unvollständige Patches an. Ein solches Tool prüft die
Dateiinformationen (Eigenschaften, Zeitstempel sowie Registry-Einstellungen) und erzeugt eine
Prüfsumme für die Dateien. Dem Administrator bietet sich aber auch die Möglichkeit, einen Quick
Scan durchzuführen. Dieser nimmt zwar die Prüfung vor, verwendet jedoch keine Prüfsummen. Danach
sollte eine solche Patching-Software einen detaillierten Report über jedes einzelne System
erzeugen: mit allen vorhandenen und fehlenden Service-Packs, Patches und Hotfixes, einschließlich
der KB-Nummer (Knowledge Base), ausführlichen Erklärungen und Hinweisen zu deren Wichtigkeitsgrad.
Vor allem für Unternehmen mit vielen zu verwaltenden Systemen ist es wichtig, über solche Berichte
mit Listen von fehlenden Patches zu verfügen.
Zur Durchführung der Patch-Scans sind aktuelle Informationen über die derzeit vorhandenen
Patches erforderlich. Diese Informationen sollten vor dem Scan-Durchgang über das Internet
aktualisiert werden. Hierbei verwenden viele Hersteller von Patch-Managementlösungen die
Sicherheits-Bulletins von Microsoft als Grundlage für den Patch-Vorgang. Auf dieser Basis erzeugen
sie dann Steuerdateien für das eigene Programm. Dabei kommt es häufig vor, dass der Scan-Bericht
aufgrund nicht angepasster Links und sich überschneidender Patches falsch begründete
Fehlermeldungen (False Positives und False Negatives) enthält. Um dies zu vermeiden, sollte eine
überarbeitete Version der Original-XML-Datei von Microsoft zum Einsatz kommen, die bereinigt und um
weitere Informationen ergänzt ist. So erkennt das Patch-Management-Tool die komplexen Zusammenhänge
unterschiedlicher Patches. Wichtig ist dabei, dass diese überarbeitete XML-Datei schon kurz nach
der Veröffentlichung der Patches zur Verfügung steht.
Rollout der Patches
Um den Rollout der Patches möglichst effizient zu gestalten, ist es von Vorteil, wenn dem
Administrator nicht nur für den Scan, sondern auch für das Aufspielen der Patches verschiedene
Optionen zur Verfügung stehen. Das Scheduling des Rollouts sollte zum Beispiel auf Basis von
Zeitzonen, Lokationen oder Gruppen möglich sein. Es ist sinnvoll, wenn der Administrator Scans mit
der nachfolgenden Patch-Verteilung koppeln kann. Will der Administrator nicht alle Patches auf
einmal aufspielen – zum Beispiel aus Zeitgründen oder weil einige kritischer sind als andere – so
muss sich dies entsprechend angeben lassen. Auch ist es nützlich, die Scans und das Patchen auf
bestimmte Anwendungen einschränken zu können. Zusätzlich hat der Systemverwalter je nach Lösung die
Möglichkeit, über Templates bestimmte Regeln für die Patch-Verteilung festzulegen, wie zum Beispiel
wann ein Reboot erfolgen soll oder ob Endanwender von der Aktion Kenntnis erhalten. Ein Teststadium
sorgt für zusätzliche Sicherheit: Die Managementlösung installiert und prüft hier Patches zuerst
auf einer vom Systemverwalter definierten Gruppe von Testrechnern, bevor sie jene dann auf die
Produktionsrechner einspielt.
Nach dem Patch-Rollout sollte der Erfolg des Prozesses überprüfbar sein. Ein abschließender Scan
stellt sicher, dass die aktuellsten Patches vorhanden sind und keine Systemfehler oder -konflikte
auftreten. Der Administrator kann nun zu Dokumentationszwecken einen Bericht über den Status seiner
Maschinen erzeugen lassen.
Neben der Genauigkeit und der Aktualität des Patch-Managements gewinnt eine dritte Forderung
immer mehr an Bedeutung: die Vielfalt unterstützter Programme.
Fazit
Ein sorgfältiges Patch-Management leistet einen essenziellen Beitrag zur Reduktion der
Sicherheitsrisiken im Unternehmen. Denn es behebt Fehler in der Software mit den aktuellen
Hersteller-Patches. Doch haben Schwachstellen auch andere Ursachen, so Fehlkonfigurationen,
unsichere Dienste oder Kennwörter. Daher gehört zu einer ganzheitlichen Sicherheitsstrategie ein
umfassendes Vulnerability-Management. Es übernimmt Aufgaben wie die Erkennung, Analyse, Eskalation
und Behebung von Schwachstellen. Aus diesem Prozess ist das Patch-Management nicht wegzudenken.
Lesen Sie mehr zum Thema
