Riskantes Zögern::
IT-Verantwortliche vernachlässigen Patches
Erneut zeigt eine Studie, dass viele Unternehmen erhebliche Risiken eingehen, indem sie Updates und Patches für ihre Software zu zögerlich aufspielen. Diese Nachlässigkeit führt dazu, dass sich selbst alte Trojaner wie beispielsweise der Wurm Conficker weiterhin schnell verbreiten können.
(Fortsetzung des Artikels von Seite 2)
Mit steigender Professionalisierung der Cybergangster werden auch Patches immer zeitkritischer (Bild: Gernot Krautberger, Fotolia.com)
Die Gefahren für die IT in Unternehmen nehmen seit einigen Jahren kontinuierlich stark zu. Gerade in den wirtschaftlichen schwierigen Zeiten der letzten Monate hat sich die Untergrundökonomie nochmals deutlich professioneller und aggressiver aufgestellt. Dennoch arbeiten viele Sicherheitsverantwortliche ungehindert weiter wie Anno Dazumal (siehe auch: »IT-Fachleute bringen eher ihr Handy auf den neuesten Stand als Firmen-Software [1]«). Insbesondere, was das Einspielen von Patches und Updates angeht, haben zu viele Chief Security Officer und ihre Kollegen offenbar noch nicht ausreichend realisiert, dass die Angreifer wesentlich schneller und gefährlicher geworden sind.
Wie zögerlich sie trotz der enorm hohen Gefahrenlage agieren, zeigt sich jetzt wieder in einer aktuellen Kurzumfrage der Sicherheitsexperten von Ampeg [2] unter 40 IT-Sicherheitsverantwortlichen großer Unternehmen. Anlass waren die aktuellen Diskussionen um eine gravierende Sicherheitslücke im Internet Explorer, die es Angreifern erlaubte, Schadcode einzuschleusen und damit die Kontrolle über den Rechner zu übernehmen.
Im Durchschnitt gaben die Sicherheitsverantwortlichen an, rund vier Wochen zu brauchen, bis wenigstens 90 Prozent der im Unternehmen eingesetzten Rechner mit einem neuen Patch versorgt sind. Die meiste Zeit vergeht dabei für ausgiebige Tests und Prüfungen im Vorfeld des Patches oder Updates. »Um akute Risiken – wie die derzeitige Lücke im Internet Explorer - zu minimieren, ist ein schnelles Handeln erforderlich«, mahnt jedoch Peter Graf, Geschäftsführer von Ampeg.
Warten heißt Daten riskieren
Auch wenn die Test eines Patches wichtig sind und vor größeren Problemen durch einen ungeprüften Rollout schützen können, so sind sie zugleich stets auch zeitkritisch. Angesichts der Tatsache, dass täglich mehrere tausend neue Viren und -Varianten entdeckt werden, wird die Geschwindigkeit bei der Umsetzung der unternehmenseigenen Sicherheitsrichtlinien immer entscheidender.
Rund 90 Prozent der Befragten gaben an, Updates und Patches erst ausgiebig intern zu testen, bevor sie ausgerollt werden. Allerdings schafft es nur knapp ein Drittel (32 Prozent) der Unternehmensverantwortlichen, diese Prüfung wirklich innerhalb weniger Stunden nach Erscheinen eines Patches durchzuführen und abzuschließen. Über die Hälfte der Befragten gab an, dass dieser Prozess in ihrem Unternehmen mindestens einen kompletten in Anspruch nimmt, oft sogar noch länger. Zehn Prozent testen hingegen überhaupt nicht und verlassen sich völlig auf die Vorarbeit der Softwareanbieter.
Mit diesen Prozessabläufen sind somit einige Unternehmen alleine schon eine Woche damit beschäftigt, einen wichtigen Patch für die IT-Sicherheit zu testen. Auch der tatsächliche Rollout auf die Produktivsysteme kann dann im nochmals bis zu vier Wochen in Anspruch nehmen. Gerade wenn es sich um hochkritische Updates handelt, ist dieser Zeitraum angesichts der heutigen Gefährdungslage viel zu lang.
Conficker zeigt deutlich die Schwächen
Obwohl die entsprechende Lücke längst geschlossen ist, vermehrt sich Conficker munter weiter. (Bild: http://www.confickerworkinggroup.org)
Doch selbst wenn Tests und Rollouts relativ zeitnah umgesetzt werden können, ist die IT-Landschaft noch nicht unbedingt ausreichend abgesichert, wie weitere Nachfragen zeigen. So können nur 59 Prozent der Befragten anschließend auch sicher beantworten, ob ein Rollout erfolgreich war. Indem also vielerorts die Qualität der Updateverteilung und damit der erreichten Sicherheit nicht nachvollziehbar ist, wird neben der Geschwindigkeit auch die Transparenz des Patch-Managements zu einem zentralen Problem bei der Absicherung einer Unternehmens-IT.
Ein solides Qualitätsmanagement mit einer verlässlichen Einschätzung der eigenen Sicherheits- und Gefährdungslage ist somit in vielen Unternehmen unmöglich. »Je schneller Schwachpunkte im Netzwerk festgestellt werden, desto schneller und präziser können die Security-Verantwortlichen Verbesserungsmaßnahmen einleiten«, so Peter Graf.
Wie gefährlich dieses Zögern bei der Verarbeitung von Sicherheitspatches sein kann, zeigt eindrucksvoll der Trojaner Conficker: Obwohl die vom Wurm genutzte Lücke in Microsoft Windows bereits seit Ende 2008 bekannt und geschlossen ist, verursacht Conficker noch immer die dritt meisten Infektionen weltweit. Erst vor wenigen Tagen infizierte sich etwa die britische Polizei mit dem gefährlichen Wurm, der eigentlich schon längst ausgemerzt sein könnte und sollte. »Erst vor Kurzem haben wir zwei Hilferufe von Unternehmen erhalten, die sich den Conficker-Wurm eingefangen haben. Ein Jahr nach Bekanntwerden der Computerwurms«, berichtet auch Graf kopfschüttelnd aus seinem Arbeitsalltag. Auch dank nachlässigem Patch-Management konnte Conficker bis heute weltweit rund 6,5 Millionen IP-Adressen infizieren.
[1] http://www.informationweek.de/infrastruktur/sicherheit/artikel-8615.html
[2] http://www.ampeg.de/
- 1. Seite: IT-Verantwortliche vernachlässigen Patches
- 2. Seite: Warten heißt Daten riskieren
- 3. Seite: Conficker zeigt deutlich die Schwächen
» Tipp der Redaktion
Das sind die deutschen Top IT-Managerinnen 2010
IT-Riesen wie Microsoft, IBM oder Dell haben längst erkannt, dass Frauen in Führungspositionen gehören. Nachdem wir Ihnen in den vergangenen Woche die weltweit mächstigesten IT-Damen vorgestellt haben, folgen jetzt die deutschen Top IT-Managerinnen 2010 - mit einigen Neuzugängen und Managerinnen die schon seit Jahren ihre »Frau« in der IT stehen.
50 Jahre IFA
2010 feiert Berlin die 50. IFA. Seit dem Startschuss zur ersten IFA sind aber fast doppelt so viele Jahre vergangen. Die ersten »Große Deutsche Funk-Ausstellung« hatte bereits 242 Aussteller und 180.000 Besucher auf einer Fläche von 7.000 Quadratmetern. Seither war die IFA Schauplatz für zahlreiche Premieren und Neuvorstellungen, etwa den Startschuss für das Farbfernsehen 1967.
» Top-Stories der Woche
50 Jahre IFA
2010 feiert Berlin die 50. IFA. Seit dem Startschuss zur ersten IFA sind aber fast doppelt so viele Jahre vergangen. Die ersten »Große Deutsche Funk-Ausstellung« hatte bereits 242 Aussteller und 180.000 Besucher auf einer Fläche von 7.000 Quadratmetern. Seither war die IFA Schauplatz für zahlreiche Premieren und Neuvorstellungen, etwa den Startschuss für das Farbfernsehen 1967.
Was der 1&1-Werbestar wirklich will
Ist er ein Schauspieler, oder ist er »echt«? Seit diesem Frühjahr wirbt Marcell D’Avis als »Leiter Kundenzufriedenheit« in TV-Spots für den Internetprovider 1&1. CRN hat D’Avis getroffen.
Weitere Artikel
» Meistgelesene News
Das sind die deutschen Top IT-Managerinnen 2010
IT-Riesen wie Microsoft, IBM oder Dell haben längst erkannt, dass Frauen in Führungspositionen gehören. Nachdem wir Ihnen in den vergangenen Woche die weltweit mächstigesten IT-Damen vorgestellt haben, folgen jetzt die deutschen Top IT-Managerinnen 2010 - mit einigen Neuzugängen und Managerinnen die schon seit Jahren ihre »Frau« in der IT stehen.
Nokia N8 mit Symbian 3
Mit seinem neuen Touchscreen-Smartphone N8 will Nokia endlich Apples iPhone und der wachsenden Andoid-Konkurrenz wieder ernsthaft Paroli bieten. Eine besonders wichtige Rolle kommt daher dem neuen Symbian 3 zu, das die Bedienung per Touchscreen weit besser unterstützt als die Vorgängerversionen.
» Preisvergleich Top 5
- Hier finden Sie Software zum Thema Navision
Melden Sie sich an, um einen Leserkommentar schreiben zu können.