Manuelle Kontrolle der Updates ist Pflicht
Risikofaktor Patch-Management
Deutsche Firmen haben 2008 laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) rund 4,5 Milliarden Euro in die IT-Sicherheit investiert. Dennoch finden Angreifer immer wieder Lücken, über die sie großflächige Attacken starten können. Ein Beispiel ist der berühmt-berüchtigte Wurm Conficker, der auch heute noch Firmen lahm legt - und das, obwohl er seit Ende 2008 immer wieder in den Schlagzeilen auftaucht.
Einen Grund für den Erfolg der Malware liefert eine Untersuchung des Sicherheitsdienstleisters Ampeg: Fünf deutsche Großunternehmen mit 5000 bis 100.000 PCs beauftragten den Bremer Security-Spezialisten, den Sicherheitsstatus aller in den jeweiligen Netzen befindlichen Systeme systematisch zu überprüfen. Das Resultat war beunruhigend: Trotz strikter und sorgfältig eingehaltener Security-Policies klafften in vier der fünf Netze erhebliche Sicherheitslücken. Laut Ampeg wichen die reellen Compliance-Werte weit von der angenommenen Effektivität der eingesetzten Patch-Management-Systeme ab.
So hatte die Erfolgsquote beim Rollout von Patches bei einem der inspizierten Konzerne (insgesamt 40.000 PCs und Server an weltweit 70 Standorten) laut Statusmeldung der Update-Software stets zwischen 95 und 98 Prozent gelegen. Der systematische Netzcheck auf Rechnerebene ergab allerdings, dass nur 70 Prozent der Systeme tatsächlich auf dem neuesten Stand waren, sprich: 12.000 Rechner hatten selbst als kritisch eingestufte Patches via automatische Update-Verteilung nicht erhalten.