Die Zahl der Schwachstellen steigt. Allein 2005 haben die Forscher der ISS-X-Force 4472 Schwachstellen gezählt. Damit wurden 2005 ein Drittel mehr Schwachstellen entdeckt als noch im Vorjahr. Gleichzeitig verringert sich die Zeit, die Administratoren für das Einspielen der Patches bleibt, denn die Schwachstellen werden von Angreifern immer schneller ausgenutzt.
Zero-Day-Attacken, also Angriffe, die in der Zeit erfolgen, in der die Hersteller noch keinen entsprechenden Patch entwickelt und bereit gestellt haben, nehmen stark zu. Neben Web-Anwendungen und Browser-Lücken sind auch Multimedia Anwendungen mit Bugs behaftet, die Angreifern Tür und Tor öffnen. Das Beratungsunternehmen Gartner geht deshalb davon aus, dass sich die Systemausfallzeiten durch Sicherheitslücken bis zum Jahr 2008 verdreifachen werden, falls die Anwender keine Gegenmaßnahmen treffen.
Patch-Management-Tools versprechen Abhilfe. Sie spielen unternehmensweit Software-Updates ein, um Sicherheitslücken zu schließen und Software auf dem neuesten Stand zu halten. Die Tools bieten den Vorteil, Patches schnell auf einer Vielzahl von Systemkomponenten bereitzustellen. So kann einer Ausnutzung der Schwachstellen in kurzer Zeit vorgebeugt werden. Das Computer Emergency Response Team (CERT) der Carnegie Mellon Universität kommt zu dem Schluss, dass sich allein durch ein konsequentes Patch-Management 95 Prozent aller potentiellen Angriffsflächen eines Systems beseitigen lassen. Auch Zeit und Kostenersparnisse gegenüber einer manuellen Vorgehensweise sprechen für den Einsatz der Tools.
Tools von Microsoft
Microsoft bietet eine Reihe von Tools für das Patch-Management an. Windows Server Update Services (WSUS) eignet sich für kleine und mittelständische Unternehmen und Organisationen, die bereits Tools für die Softwareverteilung im Einsatz haben, aber zusätzlich eine Lösung für die Update-Verwaltung benötigen.
Mit WSUS lassen sich Security Updates, Service Packs, Feature Packs, Treiber- und andere Updates in das System einspielen. Hierfür kommt ein Pull-Mechanismus zum Einsatz, bei dem die Clientsysteme den Server kontaktieren und nach genehmigten Updates suchen. Der Administrator kann konfigurieren, wie häufig die Clients den Server kontaktieren, um nach neuen Updates zu suchen. Mit dem WSUS kann auch festgelegt werden, welchen Systemen bestimmte Updates zur Verfügung gestellt werden sollen. Darüber hinaus meldet das Tool, welche Updates im Vergleich zur Gesamtmenge der zur Verfügung stehenden Updates für ein System fehlen. Mobilgeräte lassen sich mit WSUS allerdings nicht in den Update und Patchprozess einbeziehen.
Der Systems Management Server 2003 (SMS) ist für mittelständische Unternehmen und Geschäftskunden konzipiert. Er beinhaltet umfangreiche Features zur Hardware- und Softwareanalyse, ermittelt Versionsstände, eingespielte Service Packs und Softwareupdates. Auf der Grundlage dieser Informationen findet ein Vergleich mit der Liste aller verfügbaren Updates statt. So wird bestimmt, welche Netzwerkkomponenten wichtige Aktualisierungen benötigen. Patch-Benachrichtigungen erfolgen per E-Mail, wenn sich der Nutzer für den Microsoft Security Notification Service angemeldet hat.
Stehen neue Updates und Patches zur Verfügung, lässt sich mit den Softwareupdateverwaltungsprogrammen bestimmen, auf welchen Systemen die Updates zu installieren sind. Nach der Prüfungsphase übernimmt der Softwareupdateverteilungs-Assistent die anschließende Verteilung und Installation. SMS 2003 unterstützt auch die Remote-Ssteuerung sowie den Remote-Neustart von Systemen. Darüber hinaus lassen sich mit dem Tool auch Mobilgeräte in die Verwaltung einbeziehen.
Andere Hersteller
Mit HFNetChk von Shavlik lassen sich nicht nur Microsoft Betriebssysteme und Applikationen, sondern auch Adobe Produkte, Apache, Firefox, Real Player und WinZip patchen. Das Tool scannt Standardapplikationen auf fehlende Patches und vergleicht die im Scan ermittelten Daten mit den von den Herstellern bereitgestellten Paketen um festzustellen, welche Service-Packs oder Patches auf den einzelnen Systemkomponenten fehlen.
Das Programm identifiziert bereits installierte Patches, indem es File-Version, Checksummen und Registry Keys heranzieht. Fehlende Patches lassen sich dann per Drag and Drop im gesamten System, auf bestimmte Gruppen oder einzelne Geräte aufspielen. Treten Probleme durch das Einspielen der Patches auf, lässt sich das System mittels Roll-back wieder in den Ausgangszustand zurückversetzen. Das Produkt ist in vier verschiedenen Versionen erhältlich. HFNetChkPro ist die Standardversion für die Patch-Verteilung. Mit HFNetChkPro Plus stehen zusätzliche Features wie etwa die Patch-Verteilung in externe Standorte zur Verfügung.
Novells Zenworks ist ein beliebtes Tool und zeichnet sich durch eine komfortable Handhabung und eine Vielzahl an unterstützten Umgebungen aus. So werden etwa Windows, Linux, NetWare, Macintosh, Solaris, HP-UX, Citrix und Adobe unterstützt.
Das Management-Tool verteilt, konfiguriert und aktualisiert Software, Updates und Patches. Neben Desktops, Servern und Laptops lässt sich mit dem Management Tool auch Software für mobile Geräte wie PocketPC und RIM BlackBerry von einem zentralen Standort aus automatisch verteilen.
Netinstall von Enteo bietet über die reine Software- und Patchverteilung hinaus die Möglichkeit, organisatorische Strukturen und Rollenkonzepte bei der Verteilung zu berücksichtigen und zu warten. So lässt sich die Anwendungssoftware von der Installation bis zum Fein-Tuning an die individuellen Gegebenheiten eines Unternehmens anpassen. Dies ist insofern eine Arbeitserleichterung, als durch das Einspielen der Pakete keine neuen Rollen und Berechtigungen für die Mitarbeiter gesetzt werden müssen. Kurzbeschreibungen zu den einzelnen Patches unterstützen den Anwender bei der Auswahl und Einstufung. Ist die Entscheidung für ein bestimmtes Update gefallen, werden diese automatisch paketiert und in eine Datenbank importiert. Von dort lassen sie sich dann zentral verteilen und automatisch auf den jeweiligen Systemen installieren.
Probleme beim Patch-Management
Doch das zentrale Einspielen von Patches hat auch seine Schattenseiten. So werden von einigen Herstellern nur unzureichend Informationen darüber geliefert, ob und welche möglichen Auswirkungen die Updates auf andere Softwareprodukte haben können.
Damit kann die Situation durch das Einspielen der Pakete im schlimmsten Fall kritischer sein als zuvor. Daher empfehlen Experten, Patches und Updates vor dem zentralen Roll-Out immer zunächst in einer Testumgebung auf ihre Verträglichkeit mit den übrigen Systemkomponenten zu prüfen und erst dann einzuspielen. So lassen sich Unverträglichkeiten und eventuell sogar Systemabstürze besser verhindern.
Große Unternehmen mit einer heterogenen Systemumgebung gehen oft sogar noch einen Schritt weiter. Sie verfügen über die personellen Ressourcen, um Patches nach Priorität, Kontext und Risiken zu klassifizieren und ihre Auswirkungen auf Netzwerkkomponenten und auf das Gesamtsystem zu bestimmen. Gerade in heterogenen Systemen summiert sich Zahl der verfügbaren Patches schnell.
Darüber hinaus sind nicht alle angebotenen Updates und Security-Fixes auch tatsächlich für jedes Unternehmen und seine jeweiligen Systeme relevant. Daher sind viele große Unternehmen dazu übergegangen, das Patch- Management nur zum Teil zu automatisieren. Erst nachdem die IT-Mitarbeiter die relevanten Patches bestimmt und getestet haben, werden diese anschließend mit Hilfe von Patch-Management Tools zentral verteilt.
Verteilung über Depotstrukturen
Auch Unternehmen mit Zweigstellen im Ausland haben beim zentralen Einspielen von Updates und Patches oft mit Problemen zu kämpfen. So muss das Patch-Management-Tool in der Lage sein, notfalls auch mit einer geringen Bandbreite den vollen Leistungsumfang zu bieten.
Hier können Tools punkten, die neben dem Onlinetransfer auch andere Verteilungskonzepte vorsehen – etwa die Verteilung der Patches über eine Depotstruktur. Diese Möglichkeit bietet beispielsweise das plattformunabhängige Enterprise Management der Asdis Software AG. Auf den jeweiligen Ziel-Servern wird ein Agent aufgespielt, der die Datenpakete entgegen nimmt, die vom Server der Zentrale an die Zweigstellen versendet werden. Erst nach der vollständigen Übertragung findet eine Verteilung an die Clients statt.
Damit lässt sich zum einen die Netzlast minimieren. Zum anderen bleiben die Updates und Patches dauerhaft auf den Depotservern der Zweigstellen gespeichert, wodurch bei einem Systemabsturz keine erneute Paketierung notwendig wird und die Patches umgehend auf die Systeme aufgespielt werden können.
Änderungen an der Software, die durch die Security Fixes und Updates entstehen, werden mittels integrierter Reportingfunktion protokolliert und in einer Konfigurationsdatenbank (CMDB) festgehalten. So können die Informationen über Änderungen, Softwarestände und Konfigurationen als Informationsgrundlage für das Einspielen neuer Updates genutzt werden.
Sie liefern Administratoren aber auch einen geeigneten Nachweis, dass Updates, Patches und Software installiert, verteilt oder deinstalliert wurden und das System tatsächlich aktualisiert und damit im Sinne eines durchgängigen Risikomanagement-Prozesses bestmöglich geschützt wurde. Das Enterprise Management verfügt selbst ebenfalls über Sicherheitsfeatures wie Verschlüsselung und Signaturen, damit sich bei der Software-Verteilung keine Malware einschleichen kann.
Fazit
Patch-Management-Tools tragen dazu bei, den zeitlichen und personellen Aufwand für die zentrale Verteilung von Patches deutlich zu reduzieren. Damit leisten sie einen wichtigen Beitrag, um Systeme schnell und sicher auf dem neuesten Stand zu halten.
Die individuelle Bewertung, ob Updates und Patches für das jeweilige System relevant sind, kann aber nur bedingt mit Tools geleistet werden. Vor allem in großen Unternehmen sind Bewertung, Tests und Konfliktanalysen aufgrund der heterogenen Infrastruktur eine kniffelige Angelegenheit und werden daher oftmals manuell durchgeführt. (Tanja Möhler/mha)