Manuelle Kontrolle der Updates ist Pflicht

Risikofaktor Patch-Management

Wer sich blind auf die Statusmeldungen seiner Patch-Management-Software verlässt, geht ein unkalkulierbares Risiko ein. Auch Erfolgsmeldungen von über 98 Prozent können eklatante Lücken offen lassen, zudem neigen die Systeme mitunter zur Selbstüberschätzung.

Deutsche Firmen haben 2008 laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) rund 4,5 Milliarden Euro in die IT-Sicherheit investiert. Dennoch finden Angreifer immer wieder Lücken, über die sie großflächige Attacken starten können. Ein Beispiel ist der berühmt-berüchtigte Wurm Conficker, der auch heute noch Firmen lahm legt - und das, obwohl er seit Ende 2008 immer wieder in den Schlagzeilen auftaucht.

Einen Grund für den Erfolg der Malware liefert eine Untersuchung des Sicherheitsdienstleisters Ampeg: Fünf deutsche Großunternehmen mit 5000 bis 100.000 PCs beauftragten den Bremer Security-Spezialisten, den Sicherheitsstatus aller in den jeweiligen Netzen befindlichen Systeme systematisch zu überprüfen. Das Resultat war beunruhigend: Trotz strikter und sorgfältig eingehaltener Security-Policies klafften in vier der fünf Netze erhebliche Sicherheitslücken. Laut Ampeg wichen die reellen Compliance-Werte weit von der angenommenen Effektivität der eingesetzten Patch-Management-Systeme ab.

So hatte die Erfolgsquote beim Rollout von Patches bei einem der inspizierten Konzerne (insgesamt 40.000 PCs und Server an weltweit 70 Standorten) laut Statusmeldung der Update-Software stets zwischen 95 und 98 Prozent gelegen. Der systematische Netzcheck auf Rechnerebene ergab allerdings, dass nur 70 Prozent der Systeme tatsächlich auf dem neuesten Stand waren, sprich: 12.000 Rechner hatten selbst als kritisch eingestufte Patches via automatische Update-Verteilung nicht erhalten.