Selten war Patch Management so in aller Munde wie in der heutigen Zeit. Nur Systeme auf dem aktuellsten Patchstand schließen bekannte Sicherheitslücken und sind somit vor potentiellen Angreifern gesichert. Was wir von Client Systemen gut kennen, ist für Server Systeme nicht minder wichtig. Doch Server Patch Management unterscheidet sich grundsätzlich von Patch Management für Client Systeme.
Bei Client Systemen ist in den meisten Unternehmen die Komplexität im Rahmen des Patch Managements überschaubar, da hier eine Patch Policy relativ schnell entwickelt und umgesetzt ist. Dies liegt daran, dass hier meist größere Gruppen von Systemen gleichbehandelt werden können und man in der Regel nicht mehr als 3-5 unterschiedliche Gruppen berücksichtigen muss. Auch sind die jeweiligen Modifikationen der Patch Policy von Gruppe A zu Gruppe B meist marginal. Zudem hat ein Ausfall eines Clients Systems eine deutlich kleinere Auswirkung im Vergleich zum Ausfall eines Server Systems. Neben vielen weiteren Einflussfaktoren sind auch die meisten Patch Management Produkte eher auf das patchen von Gruppen von Systemen ausgelegt, wobei hingegen bei Server Systemen in vielen Fällen eine Einzelfallbetrachtung wünschenswert ist.
Wendet man sich gedanklich dem Server Patch Management zu, besteht die Gefahr, dass man sich als IT Verantwortlicher sehr schnell mit dunklen Flecken auf der weißen Weste der internen IT Prozesse konfrontiert sieht.
Wichtige Fragestellungen für das Server Patch Management:
- Haben wir ein immer aktuelles Server Inventory auf das eine Patch Policy aufsetzen kann?
- Auf welchem Niveau ist unser System Hardening? Out of the Box oder High Secure?
- In wessen Händen liegt die System-Verantwortung? IT Abteilung oder Service Owner oder Fachabteilung?
- Haben wir eine für jedes Server System zuverlässige BCDR Lösung? Wirklich? Wirklich??
- Welche Patch Policy ist für unser Unternehmen erforderlich?
Dies ist nur eine kleine Auswahl an Fragestellungen, deren Beantwortung u.U. noch weitere Fragen aufwirft. Aber allein bei den genannten Fragen lässt sich schnell erkennen, dass hier genug Potential entsteht der Prokrastination anheim zu fallen und erstmal einfachere Themen der Unternehmens IT anzugehen.
Gründe für schlechten Patch Status:
- Bei größer Anzahl von Servern kennen Administratoren nicht mehr die Abhängigkeiten der vorhandenen IT Services (IT Service Design)
- Abstimmung mit Fachbereichen / Applikationsherstellern mühsam
- Zeitaufwand pro IT Service sehr hoch bei Testing / Deployment
- Keine definierte Zuständigkeit
- Keine definierte Patch Policy
Bei hunderten von Servern ist nun die Frage, wer sich der Sisyphos Arbeit annimmt und Monat für Monat das manuelle Patching übernimmt? Wer das kürzeste Streichholz gezogen hat, wird dann auch noch mit der Frage auf den Weg geschickt, wer die Verantwortung über die Systeme hat, die außerhalb des Bereichs der IT Administration liegen.
Auch hilft uns die Umstellung der Auslieferung der Patches für aktuelle Server Betriebssystem Server 2016 von Microsoft hier nur bedingt weiter. Obwohl Microsoft nun darauf umgestellt hat, monatlich nur ein konsolidiertes Update Paket anstelle von vielen einzelnen Updates auszuliefern, bleiben weiterhin alle Fragen des Patch Prozesses, Delegation von Zuständigkeiten, Compliance und Dokumentation unverändert. Wer hat in der Vergangenheit jeden einzelnen Patch separat betrachtet? Wohl die Wenigsten.
Die Antwort lautet automatisiertes Patch Management. Der Markt bietet einige Werkzeuge, die solche Vorgänge erheblich vereinfachen.
Was sollte ein Patch Management Werkzeug mitbringen?
- komfortable Bereitstellung neuer Patch Pakete
- verlässliche Inventur und Reporting der Patch Stände
- Periodische Re-Evaluierung ob in der Vergangenheit installierte Patches noch vorhanden sind oder erneut installiert werden müssen
- pro System steuerbare Neustartverwaltung
- Immer aktuelle Dokumentation der Systemverantwortlichkeit
- Möglichkeit der Delegation der Systemverantwortlichkeit auf andere Personen
- Revisionssichere Dokumentation der Abläufe im Patch Management Welches System wurde wann, und wie gepatched, oder wer hat welche Änderungen am Ablauf vorgenommen.
- Self Service für Nicht-Administratoren
Diese Punkte haben sich immer wieder aus unseren Kundenprojekten als die „most desired features“ gezeigt. Aus diesen Erfahrungen und zahlreichen Kundenfeedbacks entstand das myOperations Patch Management. Aufsetzend auf der System Center Erweiterung myOperations Portal, vereinfacht es den monatlichen Patch Prozess um ein Vielfaches. Die Automatisierung des sonst aufwändigen Prozesses sichert die regelmäßige Aktualität und bietet Angreifern somit kaum Spielraum.
Die letzten Angriffswellen zeigen, dass Cyberkriminelle immer gewiefter sind und auch kleinste Lücken nutzen. IT Verantwortliche sollten daher nicht nur auf den Schutz in Form von Securitymaßnahmen setzen, sondern auch auf regelmäßige Patchprozesse.