Ein geregeltes Patch-Management sorgt nicht nur für gut arbeitende Software, indem es sie auf dem neuesten Stand hält. Vielmehr wird die Sicherheit auf Clients und Servern erhöht, da Patches Schwachstellen in der eingesetzten Software schließen.
Die Lösungen sollen dabei vorhandene Betriebssysteme und Softwareinstallationen automatisch mit den Datenbanken des jeweiligen Anbieters abgleichen und die Updates auslösen.
In der Praxis kommt es aber darauf an, wie schnell Updates eingespielt werden, ob alle laufenden Applikationen erkannt und die Updates fehlerfrei ausgeführt werden. Denn jeder hängende Client oder Server ist unter dem Strich mehr Belastung als Hilfe.
Das Testfeld
Den Test der Patch-Management-Lösungen hat die Firma Kaspersky Lab bei dem unabhängigen Magdeburger Antivirentestlabor AV-Test in Auftrag gegeben. Dabei wurde nur der Testumfang von Kaspersky Lab vorgegeben, die finalen Testmethoden hingegen hat AV-Test selbst festgelegt und den Test auch im eigenen Labor durchgeführt. Die Ergebnisse der Produkte von Kaspersky Lab, Lumension, VMware und Symantec wurden ohne Einflussnahme von Kaspersky Lab veröffentlicht.
Getestet wurden folgende Produkte:
Kaspersky Security Center 10.1
Lumension Endpoint Management and Security Suite 7.3
Symantec Altiris Patch Management Solution 7.1
VMware vCenter Protect 8.0
Den Testbericht aus dem Labor mit der Nennung aller einzelnen Testparameter und der Liste der geprüften Applikationen können Sie auf der AV-Test-Webseite in englischer Sprache nachlesen.
Die bewerteten Funktionen
Die Tester haben sich die elf wichtigsten Funktionen der Softwarelösungen herausgegriffen und miteinander verglichen:
1. Die Zahl der unterstützten Applikationen
2. Die Erkennung der installierten Programme
3. Die Reaktionsrate zum Einspielen neuer Patches
4. Den Sprach-Support der installierten Anwendungen
5. Die Qualität und den Ablauf der Patch-Installation
6. Das Verhalten bei Installationsproblemen
7. Das Deaktivieren unerwünschter Add-ons
8. Die Kontrolle der Auto-Update-Konfiguration von Software
9. Den Einsatz des Microsoft-Update-Supports (WSUS)
10. Die Steuerung des Server- oder Client-Neustarts
11. Den Umgang mit Nutzerlizenzen bei Updates
Die Hürden im Test
Schwachstellen im Betriebssystem lassen sich bei Microsoft-Systemen mithilfe der Microsoft-Datenbank WSUS relativ schnell schließen, sofern die Patch-Lösung darüber Bescheid weiß und den Service nutzt. Bei anderen Betriebssystemen wie Mac-OS X, Red-Hat- oder SUSE-Linux sind die Datenbanken der Lösungsanbieter gefragt.
Weiterhin ist die Menge der von Firmen eingesetzten Applikationen fast unbegrenzt. Die Patch-Management-Lösungen mussten im Test mehr als 290 Programme und Betriebssysteme erkennen und unterstützen. Diese Summe ergab sich aus den Angaben aller unterstützten Applikationen der vier Lösungen.
An dieser Stelle zeigte die Lösung von Kaspersky mit über 78 Prozent den besten Wert. Die Lösung von VMware folgte mit 65 Prozent, Symantec mit 48 und Lumension mit knapp 27 Prozent. Nur Kaspersky und Lumension erkannten alle Betriebssysteme zu 100 Prozent.
Wer erkennt die Software?
Im Weiteren wurde geprüft, ob die Lösungen die 60 populärsten Applikationen erkennen und updaten. Mit vertreten: Browser wie Firefox, Chrome, Safari oder Opera, Mailclients wie Thunderbird oder Packer wie Winrar und 7-Zip.
Das Ergebnis: Die Lösungen von VMware und Symantec kennen zwar die meisten Programme, lesen aber mehrfach die Versionsnummer falsch oder gar nicht aus. Kaspersky kennt zwar etwas weniger Applikationen als VMware und Symantec, aktualisiert sie aber dafür korrekt. Lumension arbeitet sauber, kennt jedoch im Vergleich zu den anderen Lösungen nur etwa die Hälfte der Programme. Populäre Tools wie Chrome, Opera, Safari, Thunderbird oder Winrar kennt die Lösung gar nicht.
Falsche Sprache wird passend gemacht
Ist eine Applikation nicht in der Systemsprache installiert, dann verweigern einige Lösungen die volle Unterstützung. Vor allem Lumension kennt lediglich zwei zusätzliche Sprachen. Von 14 getesteten Sprachen kennen Symantec und Kaspersky Lab zwölf, VMware sogar 13 Sprachen. VMware und Symantec leisten sich allerdings Ausrutscher: Sie bringen zwar sechs beziehungsweise sieben Programme auf den neuesten Stand, ändern dabei aber die zuvor eingestellte Sprache.
Wie schnell wird gepatcht?
Sobald eine Applikation eine Schwachstelle meldet, wird damit auch zeitnah ein Patch veröffentlicht. Im Test reagierten die Lösungen von VMware und Kaspersky Lab im Schnitt nach vier Tagen, Symantec nach fünf. Lumension benötigte fast zwölf Tage.
Was passiert, wenn das Update schiefläuft?
Der wichtigste Punkt ist das Patchen selbst. Denn jede Update-Installation, die scheitert, mit Fehlern endet oder im schlimmsten Fall in einer Endlosschleife landet, muss der Administrator von Hand erledigen.
Im Test mussten die Lösungen aus dem Test-Pool an Applikationen nur diejenigen updaten, die sie auch kennen. Diese Qualität wurde festgehalten. VMware und Symantec unterstützten jeweils 63 Programme, patchten sie indes nur zu 97 beziehungsweise 87 Prozent. Bei Symantec streikten nach dem Update acht Programme, bei VMware eines. Die Patch-Lösung von Kaspersky Lab unterstützt nur 51 Programme, patcht diese jedoch alle fehlerfrei. Lumension erreichte mit fast 97 Prozent Verlässlichkeit zwar einen hohen Wert, das aber mit nur 27 Applikationen.
Stolpersteine bei Updates
Wenn ein Update auf den Clients keinen Aufschub duldet, kollidieren einige Lösungen gerne mit bestimmten Systemsituationen wie laufenden Installationen, offenen Browsern, fehlender Internetverbindung oder dem Umstand, dass die zu patchende Applikation gerade läuft. Im Test wurde dies nachgestellt.
Bei den von den Patch-Management-Paketen unterstützten Applikationen konnten nur Kaspersky Lab und Lumension punkten. Letztere Lösung hatte nur drei Mal ein Problem, weil die zu patchende Software in dem Augenblick am Arbeiten war. VMware und Symantec hatten in allen Störszenarien ihre Probleme. Besonders offene Browser und zu patchende Software, die gerade lief, machten den Lösungen zu schaffen.
Sicherheitslücken durch Add-ons
Während eines Updates versuchen einige Applikationen, Toolbars oder Optimierungs-Tools mit zu installieren. Auf diese Weise werden neue Sicherheitslücken geschaffen. Daher muss die Add-on-Installation verhindert werden. Im Test schlüpften sowohl Symantec als auch VMware einzelne Add-ons ins Update. Nur Lumension und Kaspersky Lab blieben fehlerfrei.
Auto-Updates können querschießen
Viele Applikationen wissen über ihre permanente Anfälligkeit für Sicherheitslücken Bescheid - ganz vorne rangiert da etwa der Adobe Reader. Daher bringt er auch ein Auto-Update mit. Die Patch-Management-Lösung sollte die Auto-Update-Funktion der Applikationen deaktivieren können. Nur Lumension, Kaspersky Lab und VMware bringen dies von Haus aus als Option mit. Die Lösungen von Lumension und VMware unterstützen allerdings nur wenige Applikationen direkt. Zumindest VMware bietet daher auch zusätzlich die Lösung via Scriptsteuerung an.
Nutzer von Symantec müssen den ganzen Ablauf der Auto-Updates per vorhandener Script-Steuerung verhindern.
Nutzerlizenzen sollten einsehbar sein
Bei jeder Installation von Software sollte der Administrator zumindest die Möglichkeit haben, die Nutzungsbedingungen zu lesen und bei Bedarf abzulehnen. Nur die Lösungen von Lumension und Kaspersky Lab bieten einem Admin diese Möglichkeit. Symantec und VMware verzichten darauf.
Integration des Update-Support von Microsoft
Microsoft bietet für Updates den Windows Software Update Service, kurz WSUS, an. Während Kaspersky Lab diesen Service in seine Lösung eingebunden hat und steuert, verzichten alle anderen Lösungen auf eine Anbindung.
Gute Steuerung der Neustarts
Im Test wurde auch das Verhalten nach den Updates registriert. Musste ein Neustart des Systems eingeleitet werden, so wurden die Nutzer des Client- oder Server-Systems gut informiert und die Systeme verlässlich neu gestartet. Es ließen sich sogar Neustarts verschieben oder zeitlich neu planen. In diesem Punkt waren alle Lösungen gleich verlässlich und umgänglich.
Fazit: Patch-Management sichert Systeme und entlastet Admins
Auch wenn die Zahlen der einzelnen Testabschnitte es nicht direkt erkennen lassen: Jede der getesteten Patch-Management-Lösungen kann für mehr Sicherheit bei Clients oder Servern sorgen. Zudem werden sie ständig überarbeitet und verbessert.
Unter dem Strich arbeitet von den getesteten Probanden die Lösung Kaspersky Security Center im Vergleich zu den Paketen Lumension Endpoint Management and Security Suite, Symantec Altiris Patch Management Solution und VMware vCenter Protect am verlässlichsten. Die hohe Zahl an unterstützten Applikationen und vor allem das meist fehlerfreie automatische Update können den Administrator massiv entlasten und die Sicherheit hochhalten. (hal)