Selbst die engagiertesten Administratoren schaffen es nicht, sämtliche Endpunkte in wachsenden und immer weiter verteilten IT-Infrastrukturen manuell mit Patches auszustatten: So bleiben Sicherheitslücken häufig über lange Zeit ungeschlossen. Das muss nicht sein. [...]
Das Risiko für Unternehmen, Opfer einer Cyberattacke zu werden, war nie höher als aktuell – und es steigt stetig. Mit ein Grund für die düstere Sicherheitslage ist auch der Einfallsreichtum von Hackern: Sie finden immer wieder Schwachstellen in Betriebssystemen und Anwendungen, die ihnen und damit ihrer kompromittierenden Schadsoftware Zugang zu den Endgeräten eines Unternehmens bieten.
Ist die Tür einmal geöffnet, haben Angreifer zahlreiche Möglichkeiten, Profit aus ihrem Hack zu schlagen. Die zurzeit beliebteste Methode dafür ist das Einspeisen sogenannter Ransomware. Sie verschlüsselt Dateien und Systeme, die die Cyberkriminellen nur gegen Zahlung eines Lösegelds wieder zugänglich machen.
Ein weiterer Risikofaktor, der die Sicherheitslage in Zukunft stark beeinflussen wird, ist künstliche Intelligenz. Hacker missbrauchen schon heute KI-Bots wie ChatGPT, um Schwachstellen auszuspähen oder sich Viren und andere Malware schreiben zu lassen.
Kriminellen, denen selbst das zu kompliziert ist, die aber dennoch im Cyberspace mitmischen wollen, greifen zu „Ransomware as a Service“-Angeboten. Hacker bieten ihre Tools und Dienste im Darknet nämlich mittlerweile auch als Dienstleistung an.
Manuelle Patch-Strategien überlasten IT-Abteilungen
In diesen gefährlichen Zeiten ist es umso wichtiger, Cyberkriminellen die Arbeit nicht unnötig leicht zu machen. Leider passiert das nach wie vor viel zu häufig. Denn nicht immer sind unbekannte Sicherheitslücken, sogenannte „Zero-Day-Lecks“, das Einfallstor für Hacker.
Häufig sind die Schwachstellen in Anwendungen oder Betriebssystemen bekannt und es existieren Patches und Updates für die Software – die allerdings nicht oder zu spät auf den Endgeräten der Mitarbeiter landen. Die Gründe dafür sind breit gefächert.
Der wohl wichtigste Faktor ist die schiere Masse an Patches, die IT-Abteilungen an Endpunkte ausliefern müssen, um sie stets auf dem neuesten Stand zu halten. Neben unternehmensweit genutzten Betriebssystemen und Kollaborations- oder Kommunikations-Tools verwenden viele Fachabteilungen Spezialsoftware, die ebenfalls immer wieder zu patchende Schwachstellen aufweist.
Nicht selten sind unternehmensweit über einhundert unterschiedliche Applikationen im Einsatz. Um dem Anspruch einer lückenlosen Patch-Strategie gerecht zu werden, müssten sich Administratoren praktisch rund um die Uhr mit dem Patching beschäftigen. Das ist schon allein deswegen unmöglich, weil die IT-Abteilungen natürlich auch andere Aufgaben haben.
Ein rein manuelles Vorgehen ist zudem eine ziemliche Sisyphusarbeit: Zuweilen ist der Patch-Prozess mit allen notwendigen Kompatibilitätstests und dem Deployment so aufwendig, dass die nächste Softwareaktualisierung bereits vor dessen Abschluss verfügbar ist.
Manchmal sind Patches auch nicht fehlerfrei, sodass Anbieter noch einen Korrekturpatch nachlegen, der dann erneut den Prozess durchlaufen muss. Die Folge manuellen Patch-Managements ist in der Regel ein Triage-System, wie es aus medizinischen Einrichtungen bekannt ist, also eine Priorisierung der Patches nach Dringlichkeit.
Abgesehen vom praktischen Ausrollen der Sicherheitspatches, müssen Administratoren aber überhaupt wissen, dass Aktualisierungen für die verwendete Software verfügbar sind. Auch die Informationsbeschaffung frisst ohnehin knappe Mitarbeiterressourcen. So kommt es, dass Sicherheitslücken oft sehr lange offenbleiben.
Mit Blindheit geschlagen
Ein weiterer Sorgenherd ist die Sichtbarkeit der Endpunkte. Neue Standardarbeitsmodelle wie Homeoffice oder Remote Work und die dadurch immer verteilteren IT-Umgebungen stellen Administratoren zusätzlich vor Herausforderungen.
Nutzen Mitarbeiter ihre Endgeräte außerhalb des mit leistungsstarken Firewalls ausgestatteten Firmennetzwerks, ist regelmäßiges Patching für die Sicherheit umso wichtiger.
Da sie aber durch die Nutzung von Cloud-Services immer seltener überhaupt noch mit dem Firmennetz verbunden sind, fällt es der IT-Abteilung schwer, Schwachstellen-Scans auszuführen und die Anwendungen sowie Betriebssysteme auf dem neuesten Stand zu halten.
Ist der Zugriff auf die Endpunkte gewährleistet, gibt es dennoch häufig Probleme. Denn wenn Administratoren sämtliche Geräte des Unternehmens ständig mit Updates über WAN- oder VPN-Verbindungen versorgen, dauert es nicht lange, bis die Netze in die Knie gehen. Erschwerend kommt hinzu, dass diese Prüfungen und Softwareaktualisierungen nur dann stattfinden können, wenn die Nutzer auch „online“ sind.
Endgeräte remote aufzuwecken und außerhalb der aktiven Arbeitslast zu patchen, funktioniert eben nur, wenn sie sich im Firmennetzwerk befinden. Die New-Work-Modelle haben zudem den Nachteil, dass Verbindungen während des Patchings wegen geringen Bandbreiten abbrechen können, etwa im Zug oder an öffentlichen Orten.
Mehr Sichtbarkeit durch P2P-Netzwerke
Der erste Schritt, das Patch-Management zu optimieren, ist die Wiederherstellung der Sichtbarkeit, die durch die massive Verteilung der Endpunkte abhandengekommen ist. Moderne Tools für das Endpunkt-Management lösen dieses Problem mithilfe von P2P-Infrastrukturen (Peer-to-Peer) und Cloud-Relays.
Diese Lösungen verbinden alle Endpunkte zu einem übersichtlichen und leicht zu verwaltenden P2P-Netzwerk. Der größte Vorteil dieser engen Verknüpfung ist, dass keine Endpunkte dem Blick der IT-Abteilung entgehen. Die online in der Cloud ausgeführten Tool-Komponenten sorgen darüber hinaus für eine solide Verbindung zu den Management-Servern – egal von wo.
Neben der hohen Visibilität bieten Peer-to-Peer-Netzwerke weitere Vorteile. Sie lösen zum Beispiel auch das Problem verstopfter WAN- oder VPN-Verbindungen, da nur wenige Endgeräte Patches initial von den zentralen Update-Servern beziehen müssen.
Von ihnen ausgehend werden die Patches dann im gesamten P2P-Netzwerk zwischen den Endgeräten verteilt, wobei die Management-Tools unter anderem die physische Nähe zwischen den Endpunkten bei der Verteilung einbeziehen. So erhalten Unternehmen nicht nur eine flächendeckende Sichtbarkeit, sondern benötigen auch eine geringere Anzahl an Update-Servern, wodurch sie Kosten sparen.
Die Lösung: Patch-Automatisierung
Doch Sichtbarkeit allein genügt nicht, um IT-Abteilungen nachhaltig zu entlasten und Patches sicher auf sämtliche Endpunkte zu bringen. Unternehmen sollten daher in Sachen Endpoint- und Patch-Management auf Automatisierung setzen.
Tools dafür gibt es viele und sie alle basieren auf Metadaten-Streams, die die nötigen Informationen über Patches enthalten. Auf diese Weise können Administratoren Regeln für Tests und Rollouts anlegen, nach denen die Software dann automatisch arbeitet und somit die IT-Abteilungen entlastet. Doch die individuellen Kapazitäten der Tools unterscheiden sich zuweilen stark voneinander.
Manche Automatisierungswerkzeuge sind lediglich in der Lage Teile des Patch-Prozesses autonom durchzuführen, während andere nur standardisierte Tests und Rollout-Strategien unterstützen. Viele Tools sind zudem nicht sehr intuitiv, da sie über spezielle Skriptsprachen gesteuert werden oder Programmierkenntnisse erfordern.
Für eine holistische Automatisierung sind daher Lösungen nötig, die wirklich den gesamten Patch-Prozess abbilden können. Dazu gehört nicht nur die Integration der Metadaten-Streams, sondern auch das Deployment der Patches bis hin zur Messaging-Komponente, die Rückmeldung über die erfolgreiche Installation oder etwaige Probleme beim Ausrollen der Updates gibt.
Vorteilhaft sind überdies Tools, die über eine grafische Benutzeroberfläche verfügen und mittels dieser das Anlegen individueller Workflows nach dem Baustein-Prinzip erlauben. Ist ein neuer Patch verfügbar, läuft automatisch der passende Workflow an.
Auf diese Weise können Unternehmen exakt steuern, wie umfangreich ein Patch getestet wird, welche Freigaben er braucht und welche Geräte, Abteilungen oder geografischen Regionen ihn zuerst erhalten. Speziell für Patches, die „Zero-Day-Lecks“ abdichten, lässt sich dann beispielsweise ein priorisierter Rollout mit geringerem Testumfang, kürzeren Wartezeiten auf Freigaben und weniger Rollout-Phasen definieren.
In Zeiten, da sich die Bedrohungslage für Unternehmen im Cyberspace zuspitzt, ist die Automatisierung des Endpoint- und Patch-Managements unabdingbar. IT-Abteilungen sind schon lange nicht mehr in der Lage, manuell für die Sicherheit an allen Endpunkten zu sorgen, und jeder Patch verringert die Wahrscheinlichkeit, dass sie auf erfolgreiche Cyberattacken reagieren müssen.
Das Ziel für Unternehmen muss sein, möglichst sämtliche Bereiche der IT nachhaltig zu schützen, sodass sich die Sicherheitsexperten mit aller Kraft denen widmen können, die sich nicht durch einfaches Patching schützen lassen.
Be the first to comment