Riskantes Zögern::
IT-Verantwortliche vernachlässigen Patches
Erneut zeigt eine Studie, dass viele Unternehmen erhebliche Risiken eingehen, indem sie Updates und Patches für ihre Software zu zögerlich aufspielen. Diese Nachlässigkeit führt dazu, dass sich selbst alte Trojaner wie beispielsweise der Wurm Conficker weiterhin schnell verbreiten können.
(Fortsetzung des Artikels von Seite 2)
Mit steigender Professionalisierung der Cybergangster werden auch Patches immer zeitkritischer (Bild: Gernot Krautberger, Fotolia.com)
Die Gefahren für die IT in Unternehmen nehmen seit einigen Jahren kontinuierlich stark zu. Gerade in den wirtschaftlichen schwierigen Zeiten der letzten Monate hat sich die Untergrundökonomie nochmals deutlich professioneller und aggressiver aufgestellt. Dennoch arbeiten viele Sicherheitsverantwortliche ungehindert weiter wie Anno Dazumal (siehe auch: »IT-Fachleute bringen eher ihr Handy auf den neuesten Stand als Firmen-Software [1]«). Insbesondere, was das Einspielen von Patches und Updates angeht, haben zu viele Chief Security Officer und ihre Kollegen offenbar noch nicht ausreichend realisiert, dass die Angreifer wesentlich schneller und gefährlicher geworden sind.
Wie zögerlich sie trotz der enorm hohen Gefahrenlage agieren, zeigt sich jetzt wieder in einer aktuellen Kurzumfrage der Sicherheitsexperten von Ampeg [2] unter 40 IT-Sicherheitsverantwortlichen großer Unternehmen. Anlass waren die aktuellen Diskussionen um eine gravierende Sicherheitslücke im Internet Explorer, die es Angreifern erlaubte, Schadcode einzuschleusen und damit die Kontrolle über den Rechner zu übernehmen.
Im Durchschnitt gaben die Sicherheitsverantwortlichen an, rund vier Wochen zu brauchen, bis wenigstens 90 Prozent der im Unternehmen eingesetzten Rechner mit einem neuen Patch versorgt sind. Die meiste Zeit vergeht dabei für ausgiebige Tests und Prüfungen im Vorfeld des Patches oder Updates. »Um akute Risiken – wie die derzeitige Lücke im Internet Explorer - zu minimieren, ist ein schnelles Handeln erforderlich«, mahnt jedoch Peter Graf, Geschäftsführer von Ampeg.
Warten heißt Daten riskieren
Auch wenn die Test eines Patches wichtig sind und vor größeren Problemen durch einen ungeprüften Rollout schützen können, so sind sie zugleich stets auch zeitkritisch. Angesichts der Tatsache, dass täglich mehrere tausend neue Viren und -Varianten entdeckt werden, wird die Geschwindigkeit bei der Umsetzung der unternehmenseigenen Sicherheitsrichtlinien immer entscheidender.
Rund 90 Prozent der Befragten gaben an, Updates und Patches erst ausgiebig intern zu testen, bevor sie ausgerollt werden. Allerdings schafft es nur knapp ein Drittel (32 Prozent) der Unternehmensverantwortlichen, diese Prüfung wirklich innerhalb weniger Stunden nach Erscheinen eines Patches durchzuführen und abzuschließen. Über die Hälfte der Befragten gab an, dass dieser Prozess in ihrem Unternehmen mindestens einen kompletten in Anspruch nimmt, oft sogar noch länger. Zehn Prozent testen hingegen überhaupt nicht und verlassen sich völlig auf die Vorarbeit der Softwareanbieter.
Mit diesen Prozessabläufen sind somit einige Unternehmen alleine schon eine Woche damit beschäftigt, einen wichtigen Patch für die IT-Sicherheit zu testen. Auch der tatsächliche Rollout auf die Produktivsysteme kann dann im nochmals bis zu vier Wochen in Anspruch nehmen. Gerade wenn es sich um hochkritische Updates handelt, ist dieser Zeitraum angesichts der heutigen Gefährdungslage viel zu lang.
Conficker zeigt deutlich die Schwächen
Obwohl die entsprechende Lücke längst geschlossen ist, vermehrt sich Conficker munter weiter. (Bild: http://www.confickerworkinggroup.org)
Doch selbst wenn Tests und Rollouts relativ zeitnah umgesetzt werden können, ist die IT-Landschaft noch nicht unbedingt ausreichend abgesichert, wie weitere Nachfragen zeigen. So können nur 59 Prozent der Befragten anschließend auch sicher beantworten, ob ein Rollout erfolgreich war. Indem also vielerorts die Qualität der Updateverteilung und damit der erreichten Sicherheit nicht nachvollziehbar ist, wird neben der Geschwindigkeit auch die Transparenz des Patch-Managements zu einem zentralen Problem bei der Absicherung einer Unternehmens-IT.
Ein solides Qualitätsmanagement mit einer verlässlichen Einschätzung der eigenen Sicherheits- und Gefährdungslage ist somit in vielen Unternehmen unmöglich. »Je schneller Schwachpunkte im Netzwerk festgestellt werden, desto schneller und präziser können die Security-Verantwortlichen Verbesserungsmaßnahmen einleiten«, so Peter Graf.
Wie gefährlich dieses Zögern bei der Verarbeitung von Sicherheitspatches sein kann, zeigt eindrucksvoll der Trojaner Conficker: Obwohl die vom Wurm genutzte Lücke in Microsoft Windows bereits seit Ende 2008 bekannt und geschlossen ist, verursacht Conficker noch immer die dritt meisten Infektionen weltweit. Erst vor wenigen Tagen infizierte sich etwa die britische Polizei mit dem gefährlichen Wurm, der eigentlich schon längst ausgemerzt sein könnte und sollte. »Erst vor Kurzem haben wir zwei Hilferufe von Unternehmen erhalten, die sich den Conficker-Wurm eingefangen haben. Ein Jahr nach Bekanntwerden der Computerwurms«, berichtet auch Graf kopfschüttelnd aus seinem Arbeitsalltag. Auch dank nachlässigem Patch-Management konnte Conficker bis heute weltweit rund 6,5 Millionen IP-Adressen infizieren.
[1] http://www.informationweek.de/infrastruktur/sicherheit/artikel-8615.html
[2] http://www.ampeg.de/
- 1. Seite: IT-Verantwortliche vernachlässigen Patches
- 2. Seite: Warten heißt Daten riskieren
- 3. Seite: Conficker zeigt deutlich die Schwächen
» Tipp der Redaktion
»CE ist ein super-attraktives Feld«
Von ihrer TK-Plattform Getmobile haben sich Daniel Wild und Tim Schwenke 2009 verabschiedet und setzen nun als Ecommerce Alliance auf neue Etail-Ideen. Im Gespräch mit CRN berichtet Wild, wie sich gerade im margenschwachen CE-Geschäft attraktive Modelle wie der Shopping Club Pauldirekt umsetzen lassen.
ITK Group lädt zur Hausmesse
Die Verbundgruppe ITK Group lädt am 24. September nach Berlin zum jährlichen Event »iTKON«. In diesem Jahr steht unter dem Motto »Direct Touch« die Kundenansprache im Mittelpunkt der Veranstaltung. Doch kommen auch die Themen Networking und Feiern nicht zu kurz.
» Top-Stories der Woche
Preo erwirkt Unterlassungsurteil gegen Microsoft
Das Landgericht Hamburg hat ein Unterlassungsurteil gegen Microsoft ausgesprochen. Darin wird es dem unternehmen verboten, Kunden der preo Software AG, die ihre gebrauchten Softwarelizenzen weiter veräußern, mit unsachlichen Anschreiben in Zusammenhang mit Lizenzübertragungen anzuschreiben.
Informationen in neuem Gewand
Am 1. August wandert www.informationweek.de zu www.crn.de/cio. In unserer neuen CIO-Rubrik werden wir Ihnen weiterhin in gewohnter Qualität die wichtigsten Informationen aus der Business-IT-Welt für Sie und Ihr Geschäft bereitstellen.
Weitere Artikel
» Meistgelesene News
PC-Ware unter Druck
Lizenz-Spezialist PC-Ware ist noch nicht wieder auf Wachstumskurs: Vorläufige Geschäftszahlen weisen einen Ergebnisrückgang von fast 100 Prozent und einen rückläufigen Umsatz aus.
Vobis eröffnet neue Filialen
Vobis hat die Talsohle durchschritten: In den letzten Monaten hat das Franchise-System drei neue Filialen eröffnet. Dabei positioniert sich Vobis verstärkt als beratungsstarker Fachhändler und setzt auf die Themen Telekommunikation und E-Commerce.
» Wirtschaftsnews
ROUNDUP: Infineon-Geschäft brummt - Prognosen erneut angehoben
NEUBIBERG (dpa-AFX) - Beim Halbleiterspezialisten Infineon
Terroristen bekennen sich zu Mord an Journalisten
Athen (dpa) - Die linksextreme griechische Terrororganisation «Revolutionären-Sekte» hat die Verantwortung für die Ermordung eines Journalisten Mitte Juli übernommen. Wie die Athener Zeitung «Ta Nea» am Dienstag auf ihrer Internetseite berichtete,...
» Preisvergleich Top 5
» CRN Business - kostenlose Downloads
10 Schritte für erfolgreiches Zukunftsmanagement
Sich auf mögliche Szenarien der Zukunft einstellen.
Vertrag über Outsourcing-Leistung
Worauf es bei Outsourcing-Leistungen und -Verträgen ankommt.
Melden Sie sich an, um einen Leserkommentar schreiben zu können.