Patches für schlechte Patches

Während die Verwaltung von Software-Patches schon von jeher zur Software-Administration gehört, sind die Administration und Sicherheit von Software durch den Zuwachs an bereitgestellter Software für Netzadministratoren zum reinen Albtraum geworden. Nachdem Hacker und Angreifer ihre Aufmerksamkeit verstärkt darauf lenken, Vorteile aus bekannten Sicherheitslücken bei Software zu ziehen, statt selbst nach neuen Sicherheitslücken zu forschen, wird es für Unternehmen immer wichtiger, sich durch die Installation allgemein erhältlicher Software-Patches abzusichern.

Es gibt einige Gründe, weshalb Software-Patches nicht auf anfälligen Systemen installiert werden. Diese hausgemachten Aspekte beinhalten:

• Feststellen, welche Systeme eventuell betroffen sind
• Überprüfen, welche Systeme gepatcht wurden
• Patchen von neuen Systemen, die dem Netz hinzugefügt wurden
• Patchen von Systemen, die nach dem ursprünglichen Patchen eventuell anfällig werden
• Koordinierung der Patchinstallation zwischen dem Netzadministrations- und Sicherheitsadministrations-Personal

Um die Probleme anzusprechen, welche die Installation von Sicherheitspatches verhindern, haben Anbieter von Patch-Management Softwareinventar-Tools eingebaut, mit denen man über die auf den einzelnen Maschinen laufende Software den Überblick behält. Findet z.B. eine Security-Version in einem bestimmten Betriebssystem eine Sicherheitslücke, kann die Software ganz einfach herausfinden, welche der Maschinen gepatcht werden müssen.

Die Sicherheitspatch-Software kann außerdem überprüfen, welche der Systeme bereits gepatcht wurden und bei welchen ein Patchen noch erforderlich ist. Sowohl BigFix als auch Patchlink sind Agent-basierte Patch-Managementsysteme, die auf jedem einzelnen Computer, der mit dem Manager synchronisiert ist, Software laufen lassen. Mit einem einfachen Tastendruck kann der Administrator einen Patch an alle Rechner schicken. Aus verschiedenen Gründen kann es vorkommen, dass der Patch nicht auf einem Rechner installiert wird. In dieser Situation wird die Sicherheitspatch-Software davon in Kenntnis gesetzt, dass ein Patch nicht erfolgreich installiert wurde, und der Administrator kann die weiteren Schritte unternehmen, um zu gewährleisten, dass der Computer gesichert wird. Zudem kann es passieren, dass die Patch-Management-Software einen Patch an alle Anwender schickt, von denen jedoch nicht alle am Netz angeschlossen sind. Die Patch-Management-Software weiß, dass diese nicht angeschlossenen Maschinen noch nicht gepatcht wurden, und patcht sie, sobald sie mit dem Netz verbunden sind. Somit sind Außendienstler gleichermaßen kontinuierlich vor Software-Sicherheitslücken geschützt wie die internen Desktops.