Wer seine Software nicht aktualisiert, geht ein grosses Risiko ein.

Patchen: Pflicht oder Kür?

Andreas Wisler

Jeden Tag veröffentlichen die Hersteller von Hard- und Software Aktualisierungen. Ein Katz-und-Maus-Spiel gegen die Hacker. Wird eine Schwachstelle entdeckt, gilt es diese schnell zu schliessen, bevor diese angegriffen wird. Wer nicht umgehend seine Software aktualisiert hat, geht ein grosses Risiko ein. Dabei ist nicht nur Microsoft davon betroffen, sondern auch viele andere Produkte. Eine aufwändige Arbeit für den Administrator. Da stellt sich oft die Frage: Muss das wirklich sein?

Alle kennen das, kaum den Computer gestartet, erscheinen unten rechts Meldungen von Software-Aktualisierungen. «Nicht schon wieder», werden sich sicherlich viele denken und dies auf später verschieben. Praktisch für jede Software erscheinen in unregelmässigen Abständen Aktualisierungen, die es gilt zu installieren. Einfach installieren ist aber nicht ohne ein gewisses Risiko. Viele Administratoren haben schon die Erfahrung gemacht, dass ein Patch anschliessend Probleme bereitete. Eine Testumgebung können sich aber nur wenige Firmen leisten und damit wird jeder Patch zu einer Herausforderung.
Daher warten einige Administratoren mal ab, ob bei andere Firmen Probleme auftreten. Wenn es keine gibt, dann wird der Patch (hoffentlich) auch in­stalliert. Statistiken zeigen auf der anderen Seite, dass neue Schwachstellen immer schneller ausgenutzt werden. Inzwischen kann ausgegangen werden, dass schon am gleichen Tag Programme verfügbar, die diese Lücke ausnutzen und so schweren Schaden anrichten können.
Ganz auf einen Patch zu verzichten, ist daher ein gefährliches Spiel mit dem Feuer. Beispiele von schlecht gewarteten Systemen trifft man immer wieder. Werden Systeme erfolgreich angegriffen, gelangen Daten in die falschen Hände. Sollte es der Hacker «nur» auf E-Mail-Adressen, Kreditkarteninformationen und Passwörter abgesehen haben, ist der finanzielle Schaden für das Unternehmen eher gering, der Ruf aber beschädigt. Im Internet sind Millionen von solchen Daten abrufbar. Häufiger ist es jedoch, dass Systeme verschlüsselt werden und Geld erpresst wird, teilweise im sechsstelligen Bereich. Diverse Berichte von Schweizer Firmen sind in den letzten Wochen lesbar gewesen.

Schaden, Folgen
Sollte ein schlecht gepatchtes System angegriffen werden, kann nicht nur ein Datenverlust die Folge sein:

Downtime
Sind die Systeme nicht mehr erreichbar, steht oft der gesamte Betrieb still. Dies kann zu Produktionsausfällen oder nicht eingehaltenen Terminen führen.

Wiederherstellungszeit
Gleichzeitig mit der Downtime stellt sich auch die Frage, wie lange es dauert, bis die Systeme wieder bereit sind, ihre Aufgaben zu erfüllen. Fehlt ein Backup/Desaster-Recovery-Plan, ist ein strukturiertes Vorgehen sehr schwierig. Dementsprechend dauert es relativ lange, bis die Systeme wieder hundertprozentig zur Verfügung stehen.

Daten-Integrität
Ist eine Lücke erfolgreich ausgenutzt worden, muss kontrolliert werden, ob die Daten nicht verändert oder anderweitig beschädigt wurden. Diese Kontrolle muss sich auf alle Daten beziehen, nicht nur auf die Daten der angegriffenen Systeme. Es muss verhindert werden, dass mit manipulierten Daten weitergearbeitet wird.

Kosten
Nicht vergessen werden darf, dass alle Arbeiten nicht nur viel Zeit beanspruchen, sondern auch Geld kosten. Sei dies durch Überstunden der Administratoren, den Arbeitsausfall der Mitarbeiter oder verpasste Aufträge oder Auslieferungen.

Image
Wie bereits erwähnt, leidet unter einem erfolgreichen Angriff auch das Image einer Firma. Will ich tatsächlich hier bestellen? Kann mir diese Firma für die Zukunft garantieren, dass dies nicht mehr passiert? Dies sind sicherlich Gründe dafür, dass nur ungern über erfolgreiche Angriffe berichtet wird. Lieber behält man dies als «kleines» Geheimnis für sich, als dass es Presse, Kunden oder Mitbewerber erfahren.

Rechtliche Situation
Schlecht gewartete Systeme bergen auch die Gefahr, dass diese für illegale Zwecke missbraucht werden. Der meiste Spam wird über genau diese schlecht geschützten Systeme verbreitet. Auch werden diese für Dateiablagen jeglicher Art ausgenutzt. Zudem droht die DSGVO mit erheblichen Strafen, wenn ein Datenverlust aufgrund schlecht gesicherter Systeme erfolgte.

Gestohlene Daten
Viel schwerer als das Stören der Systeme sind gestohlene Daten. Gelangen vertrauliche Daten in die falschen Hände, ist der Schaden nicht abschätzbar.

Risiko-Stufen
Die verfügbaren Patches werden in verschiedene Stufen eingeteilt: Kritisch, wichtig, moderat und gering. Kritische und wichtige Patches sind dabei mit besonderem Augenmerk zu betrachten und baldmöglichst zu installieren. Damit die Administratoren einfach erkennen können, wie wichtig der Patch ist, wird zusätzlich jedem Patch eine Priorität zu­geordnet: Notfall (Emergency), Hoch (High), Mittel (Medium) und Klein (Low).
Notfall-Patches sollten innerhalb von 24 Std. installiert sein. Hohe Priorität bedeutet innerhalb weniger Tage (zwei bis drei), mittlere Priorität innerhalb von einer bis zwei Wochen sowie kleine Priorität innerhalb von einem bis zwei Monaten.

Vorgehen
Um Patches zu installieren, sollte ein vierstufiges Verfahren angewendet werden:

  1. Legen Sie als Erstes fest, welche Systeme gefährdet sind. Sind diese Systeme von aussen erreichbar oder beschränkt sich die Angriffsfläche auf die interne Struktur? Je grösser die Gefährdung ist, umso wichtiger ist es, dass diese Systeme im Auge behalten werden.
  2. Neue Schwachstellen und Updates/Patches werden über verschiedene Wege veröffentlicht. Organisieren Sie sich so, dass Sie an diese Meldungen gelangen. Sobald neue Patches verfügbar sind, sollten diese auch installiert werden.
  3. Planen Sie in einem weiteren Schritt, wie und wann diese Patches installiert werden. Muss dabei ein Wartungsfen­ster vorgesehen werden, in welchem die Systeme nicht verfügbar sind? Oder beschränkt sich das Problem nur auf eine Applikation, die auch an einer Randstunde aktualisiert werden kann? Bei redundanten Systemen kann der Patch ohne Konflikte schnell installiert werden. Kontrollieren Sie auch, ob Patches zusammengefasst und in einem Schritt installiert werden können.
  4. Im letzten Schritt gilt es, gemäss Planung die Patches zu installieren. Überprüfen Sie anschliessend, ob alle Systeme noch wie gewünscht funktionieren. Dies gilt nicht nur für das Betriebssystem, sondern auch für die installierte Software.

Informationsquellen
Patches können nur dann installiert werden, wenn auch bekannt ist, dass solche vorhanden sind. Die Wege, um an solche Informationen zu kommen, sind vielfältig. Oft fehlt aber die Zeit, alle diese Informationen zu verarbeiten. Dennoch gibt es schnelle Wege, um sich über neue Patches zu ­informieren. Jeder Hersteller erwähnt auf seiner Homepage, wenn neue Patches verfügbar sind. Meistens sind auch viele Detailinformationen vorhanden, welche Lücken dabei geschlossen werden. Einige Hersteller haben dafür auch eine eigene Seite vorgesehen, auf welcher über Sicherheitshinweise informiert wird.
Im Internet sind ausserdem zahlreiche Newsletter vorhanden, die nur über Schwachstellen berichten (zum Beispiel CVE). Die meisten Hinweise sind jedoch für die eigene Umgebung irrelevant und der Newsletter wird nur noch flüchtig quergelesen. Daher lohnt es sich, den Newsletter des Herstellers der eingesetzten Software zu abonnieren.
Nebst den Newslettern gibt es auch spezialisierte Homepages, die alle Informationen sammeln und übersichtlich zusammentragen. Abonnieren Sie mindestens den Sicherheitsnewsletter der Hersteller der eingesetzten Software. So erhalten Sie alle Informationen schnell und zuverlässig und müssen nicht verschiedene Homepages aufsuchen.

Logbuch führen
Damit Sie nicht die Übersicht verlieren, empfiehlt es sich, eine Liste mit der vorhandenen Software zu führen. Auf dieser Liste ist auch die aktuelle Version, die Homepage des Herstellers sowie installierte Patches peinlich genau zu führen. Nutzen Sie dafür ein allfällig vorhandenes Ticketing-Tool. Damit haben Sie zu jedem Zeitpunkt die Übersicht über den aktuellen Stand Ihrer IT-Infrastruktur.

Fazit
Das Aktualisieren der Systeme darf keine Arbeit nebenbei sein. Der Schaden, der eine fehlende Software-Aktualisierung nach sich ziehen kann, kann sehr gross sein. Ein strukturiertes Vorgehen ist wichtig – die Informationen über neue Updates müssen vorhanden sein, damit der Patch zeitnah nach einem vorgelegten Schema getestet und installiert werden kann. Schützen Sie sich vor neuen Gefahren – ein Patch-management hilft Ihnen, Ihre Systeme vor Ausfällen und Hackern sicher zu betreiben.

INFOS | KONTAKT
goSecurity AG
Schulstrasse 11
CH-8542 Wiesendangen

T +41 (0)52 511 37 37
www.goSecurity.ch
wisler@gosecurity.ch

Termine

April

HANNOVER MESSE, Hannover

Die HANNOVER MESSE umfasst die Leitmessen 5G Arena, Automation, Motion & Drives, Digital Ecosystems, Energy Solution, Engineered Parts & Solutions, Future Hub, Global Business & Markets und Logistics
12. bis 16. April
www.hannovermesse.de

MedtecLIVE, Nürnberg

Event für die Wertschöpfungskette medizintechnischer Produkte
20. bis 22. April
www.medteclive.com

Drupa, Düsseldorf

No. 1 for printing technologies
20. bis 30. April
www.drupa.de

Mai

PCIM Europe, digital

Internationale Fachmesse und Konferenz für Leistungselektronik, Intelligente Antriebstechnik, Erneuerbare Energie und Energiemanagement
3. bis 7. Mai
www.pcim.de

SENSOR+TEST digital, Nürnberg

Internationale Fachmesse für Sensorik, Mess- und Prüftechnik
4. bis 6. Mai
www.sensor-test.com