Startseite Navigation Inhalt Kontakt Sitemap Suche
HomeTipps für KMUPatchmanagement im KMU-Umfeld

Patch­ma­nage­ment im KMU-Umfeld

Das Ein­spielen von Updates ist eine wirk­same Mass­nahme, um Schwach­stellen in der Sicher­heit kom­plexer digi­taler Sys­teme zu beheben. Mit einem guten Patch­ma­nage­ment gelingt eine rei­bungs­lose Umset­zung auch im KMU.

Wich­tigste Merkpunkte:

  • Defi­nieren Sie regel­mäs­sige Zeit­fenster aus­ser­halb der Pro­duk­ti­ons­zeiten für die War­tung Ihrer Systeme.
  • Beziehen Sie Sicher­heits­up­dates aus­schliess­lich aus ver­trau­ens­wür­digen Quellen.
  • Prüfen Sie Wirk­sam­keit und «Neben­wir­kungen» von Sicher­heits­up­dates, bevor sie diese auf pro­duk­tiven Sys­temen installieren.
  • Legen Sie einen Plan für die Ver­tei­lung von Sicher­heits­up­dates auf Ihren Sys­temen fest.
  • Halten Sie ein aktu­elles Backup und ein Fall­back-Sze­nario in der Hin­ter­hand, falls beim Update etwas schief­laufen sollte.
  • Doku­men­tieren Sie die an den Sys­temen vor­ge­nom­menen Wartungsarbeiten.

Sicher­heits­up­dates

Die Ent­wick­lung von IT-Sys­temen schreitet immer schneller voran: Funk­tio­na­li­täten von Appli­ka­tionen nehmen stetig zu, und die Lebens­zy­klen von Hard- und Soft­ware werden ten­den­ziell kürzer. Her­steller sind des­halb bestrebt, ihre neusten Errun­gen­schaften mit­tels Aktua­li­sie­rungen (Updates) schnell in Umlauf zu bringen.

Im KMU-Umfeld kann hierbei durchaus eine gewisse Zurück­hal­tung geübt werden, weil sich nicht jede Neue­rung auch effi­zient auf den Betriebs­pro­zess umlegen lässt. Eine strikte Aus­nahme dazu bilden jedoch Sicher­heits­up­dates, welche mög­lichst umge­hend ein­ge­spielt werden sollten.

Jedes kom­plexe System weist ver­steckte Fehler oder Schwach­stellen auf. Viel­fach bleiben diese lange unbe­merkt und harmlos. Sind solche jedoch einmal ent­deckt, werden sie zu ernst­zu­neh­menden Ver­letz­lich­keiten (im IT-Umfeld Vul­nerabi­li­ties genannt), denn nun beginnt ein Wett­lauf mit der Zeit.

Auf der einen Seite beginnen Hacker nach Wegen zu suchen, diese offen­ge­legten Schwach­stellen für ihre Zwecke aus­zu­nutzen und soge­nannte Exploits zu ent­wi­ckeln. Gelingt dies, können sich bös­wil­lige Akteure zum Bei­spiel unau­to­ri­sierten Zugang zu Sys­temen und Daten verschaffen.

Auf der anderen Seite machen sich die Her­steller daran, mit­tels Sicher­heits­up­dates oder Patches diese Schwach­stellen mög­lichst schnell zu beheben und damit all­fäl­ligen Exploits zuvor zu kommen oder bereits bestehende Exploits unschäd­lich zu machen.

Das Patch­ma­nage­ment

Grund­sätz­lich sollten Sicher­heits­up­dates also mög­lichst schnell und flä­chen­de­ckend ein­ge­spielt werden. Was auf einem pri­vaten Ein­zel­platz­system im All­ge­meinen ein­fach zu bewerk­stel­ligen ist, kann im KMU jedoch durchaus seine Tücken haben. Es braucht des­halb ein geord­netes Vor­gehen in Form eines Patchmanagement-Prozesses.

Für die Instal­la­tion von Sicher­heits­up­dates sind jeweils fol­gende Schritte zu beachten:

  • Iden­ti­fi­ka­tion der betrof­fenen Sys­teme und der hierfür geeig­neten Sicherheitsupdates.
  • Beschaf­fung der Sicher­heits­up­dates aus einer ver­trau­ens­wür­digen Quelle, ins­be­son­dere auch für Sys­teme ohne direkten Internet-Zugang.
  • Vor­gän­giges Testen von Wirk­sam­keit und «Neben­wir­kungen» von Sicher­heits­up­dates auf nicht kri­ti­schen Systemen.
  • Sys­tem­ab­hän­gige Frei­gabe von Sicher­heits­up­dates und Ter­mi­nie­rung der Instal­la­tion aus­ser­halb der Produktionszeiten.
  • Bei kri­ti­schen Sys­temen: Pla­nung von tem­po­rären Aus­weich­lö­sungen und Fallback-Szenarien.
  • Doku­men­ta­tion der vor­ge­nom­menen Änderungen.

Da es sich hierbei um einen rol­lenden Pro­zess han­delt, emp­fiehlt sich das Fest­legen von peri­odi­schen, fixen Zeit­fens­tern für die War­tung der Sys­teme. So können Sicher­heits­up­dates über eine gewisse Zeit gesam­melt, geprüft und vor­be­reitet werden, deren Instal­la­tion jedoch bis zum nächsten Zeit­fenster auf­ge­schoben werden.

Das Patch­ma­nage­ment beschäf­tigt sich mit der Beschaf­fung, dem Testen und der Instal­la­tion von Soft­ware-Updates. Die Haupt­auf­gabe ist das Schliessen von Sicher­heits­lü­cken in Betriebs­sys­temen und Applikationen.

Wei­ter­ge­hende Informationen

Zur Iden­ti­fi­ka­tion der betrof­fenen Sys­teme und der hierfür geeig­neten Sicher­heits­up­dates tragen zahl­reiche Fak­toren bei. Zum einen spielt die Hard­ware selbst eine Rolle. Hier sind es haupt­säch­lich die Firm­ware und die Treiber, die aktuell gehalten werden müssen. Es folgen das Betriebs­system sowie die instal­lierten Appli­ka­tionen, die auf ver­füg­bare Updates geprüft werden müssen.

Für Sys­teme mit direktem Internet-Zugang exis­tieren auto­ma­ti­sierte Scanner-Lösungen, welche peri­odisch ein Hard- und Soft­ware-Inventar auf­nehmen und online nach ver­füg­baren Updates suchen. Im KMU sollten diese Sys­teme höchs­tens unter­stüt­zend ein­ge­setzt werden. Von einer unüber­wachten Instal­la­tion von Updates muss hin­gegen drin­gend abge­raten werden. Es sollte immer ein Tech­niker die Kon­trolle über den Instal­la­ti­ons­pro­zess haben.

Die Beschaf­fung der Sicher­heits­up­dates kann eben­falls ein heikles Unter­fangen bedeuten, denn nicht immer han­delt es sich bei den im Internet am ein­fachsten auf­find­baren Updates um «Ori­gi­nal­ware». Das Risiko besteht in sol­chen Fällen darin, dass mit dem ver­meint­li­chen Sicher­heits­up­date der eigent­liche Exploit aufs System gebracht wird. Wenn immer mög­lich, sollte man sich des­halb an die offi­zi­ellen Ver­triebs­ka­näle der Her­steller halten.

Bevor ein Update auf einem pro­duk­tiven oder gar kri­ti­schen System ein­ge­spielt wird, sollte man sich dessen Kom­pa­ti­bi­lität mit dem betref­fenden System und mit der Umge­bung ver­ge­wis­sern. Opti­ma­ler­weise geschieht dies durch das Testen von Wirk­sam­keit und «Neben­wir­kungen» (d.h. poten­tiell uner­wünschten Sei­ten­ef­fekten) von Sicher­heits­up­dates in einer iso­lierten, nicht pro­duk­tiven Umge­bung. In KMU ist eine solche aller­dings häufig nicht verfügbar.

Es ist den­noch ratsam, eine sys­tem­ab­hän­gige Frei­gabe von Sicher­heits­up­dates vor­zu­nehmen, z. B. indem zunächst die weniger kri­ti­schen Sys­teme für die Behand­lung vor­ge­zogen werden. Erst nach einer gewissen Beob­ach­tungs­zeit und einigen Tests kann man die rest­li­chen Sys­teme folgen lassen.

Für die Instal­la­tion von Updates sollten, ins­be­son­dere für kri­ti­sche Sys­teme, genü­gend grosse Zeit­fenster aus­ser­halb der Pro­duk­ti­ons­zeiten reser­viert werden. Ebenso sollte man sich mit­tels Backups und mög­li­chen Aus­weich­lö­sungen auf ein Fall­back-Sze­nario vor­be­reiten, sollte das Update nicht erfolg­reich instal­liert werden können.

Die vor­ge­nom­menen Schritte des Update-Vor­gangs sollten in einer Doku­men­ta­tion nach­voll­ziehbar fest­ge­halten werden. Bei einer all­fäl­ligen spä­teren Feh­ler­suche könnten daraus ent­schei­dende Hin­weise auf deren Ursache gezogen werden.

Diese Beiträge könnten Sie auch interessieren:

Was möchten Sie weiter zum Thema Sicherheit beim E-Banking wissen?

Jetzt für einen Kurs
anmelden und mehr lernen:

Grund­kurs

Lernen Sie die aktu­ellen Bedro­hungen im Internet kennen und wie Sie sich mit ein­fa­chen Mass­nahmen davor schützen und E-Ban­king sicher anwenden.

wei­tere Informationen

Online-Kurs Mobile Ban­king / Payment

Lernen Sie Mobile Ban­king und Mobile Pay­ment kennen und wie Sie solche Apps sicher nutzen.

wei­tere Informationen

Online-Kurs für unter 30-jährige

Lerne dein Smart­phone sicher zu ver­wenden. Neben Basics zeigen wir dir, was bzgl. Social Media, Clouds, Mobile Ban­king und Mobile Pay­ment wichtig ist.

wei­tere Informationen

Kurs für KMU

Ist Ihr Unter­nehmen genü­gend sicher? Lernen Sie, mit wel­chen Mass­nahmen Sie die Infor­ma­ti­ons­si­cher­heit in Ihrem Unter­nehmen deut­lich erhöhen.

wei­tere Informationen