Antivirus, Patches und mehr

Tipps & Tricks zur Absicherung der Unternehmens-IT

Die "vergessenen" Systeme

Jeder Systemverantwortliche weiß, dass die Client- und Server-Systeme im eigenen Netzwerk gegenüber Programmfehlern, Attacken durch Schädlinge oder unerwünschten Personen abgesichert werden müssen. Mit einer zentralen Antivirensoftware, die alle verwalteten Computer laufend mit AV-Pattern versorgt, und einer Update-Struktur für Applikationen und Betriebssysteme sind die Client-Computer meistens bestens gerüstet. Glücklicherweise machen es die Lieferanten wie Microsoft und Apple oder auch die Anbieter von Linux-Distributionen den IT-Verantwortlichen sehr einfach, die Systeme auf dem neuesten Stand zu halten.

Wissenswert: Microsoft WSUS aktualisiert zwar automatisch die Windows-Basis eines Exchange-Servers, nicht aber die Exchange-Applikation selbst.
Wissenswert: Microsoft WSUS aktualisiert zwar automatisch die Windows-Basis eines Exchange-Servers, nicht aber die Exchange-Applikation selbst.
Foto: Frank-Michael Schlede / Thomas Bär

Ganz anders verhält es sich auf den größeren Serversystemen - diese sollen und dürfen nicht vollkommen automatisch die Aktualisierungen einspielen und ungefragt einen Neustart vornehmen. Folglich muss sich der Administrator im Zuge einer geplanten Downtime selbst um die Updates kümmern. Das setzt aber voraus, dass er sich detailliert mit der jeweiligen Systematik auseinandersetzt. Microsoft-Exchange-Server beispielsweise erhalten von einem lokalen WSUS-Server (WSUS = Windows Server Update Services) üblicherweise nur die Updates für Windows, nicht aber für die Exchange-Komponenten. Folglich dauert es mitunter Monate oder gar Jahre, bis ein Server durch den zuständigen Administrator auf den neuesten Stand gebracht wird.

Bei aller Diskussion um vermeintliche Weisheiten wie "Never change a running system" (unglücklich abgeleitet von "Never change a winning team") ist ein Exchange-Server, dem viele "Update Rollups" für sein Service Pack fehlen, eine potenzielle Gefahr für das Unternehmen. Das BSI beschreibt die Konfiguration von Autoupdate-Mechanismen beim Patch- und Änderungsmanagement unter M 4.324. Die folgenden Fragen sollten sich IT-Verantwortliche und Administratoren in diesem Zusammenhang stellen:

  • Besitze ich eine Übersicht aller meiner Server und deren Patch-Mechanismus?

  • Nehme ich mir die Zeit, WSUS-Listen mindestens einmal die Woche anzuschauen?

  • Ist meine eigene Workstation auf dem aktuellen Stand?