Riskantes Zögern:
IT-Verantwortliche vernachlässigen Patches

von Lars Bube (lars.bube@crn.de)

Share
08.02.2010

Erneut zeigt eine Studie, dass viele Unternehmen erhebliche Risiken eingehen, indem sie Updates und Patches für ihre Software zu zögerlich aufspielen. Diese Nachlässigkeit führt dazu, dass sich selbst alte Trojaner wie beispielsweise der Wurm Conficker weiterhin schnell verbreiten können.

(Fortsetzung des Artikels von Seite 1)

Keine Beiträge im Forum. » Diskussion starten!

Mit steigender Professionalisierung der Cybergangster werden auch Patches immer zeitkritischer (Bild: Gernot Krautberger, Fotolia.com)

Die Gefahren für die IT in Unternehmen nehmen seit einigen Jahren kontinuierlich stark zu. Gerade in den wirtschaftlichen schwierigen Zeiten der letzten Monate hat sich die Untergrundökonomie nochmals deutlich professioneller und aggressiver aufgestellt. Dennoch arbeiten viele Sicherheitsverantwortliche ungehindert weiter wie Anno Dazumal (siehe auch: »IT-Fachleute bringen eher ihr Handy auf den neuesten Stand als Firmen-Software [1]«). Insbesondere, was das Einspielen von Patches und Updates angeht, haben zu viele Chief Security Officer und ihre Kollegen offenbar noch nicht ausreichend realisiert, dass die Angreifer wesentlich schneller und gefährlicher geworden sind.

Wie zögerlich sie trotz der enorm hohen Gefahrenlage agieren, zeigt sich jetzt wieder in einer aktuellen Kurzumfrage der Sicherheitsexperten von Ampeg [2] unter 40 IT-Sicherheitsverantwortlichen großer Unternehmen. Anlass waren die aktuellen Diskussionen um eine gravierende Sicherheitslücke im Internet Explorer, die es Angreifern erlaubte, Schadcode einzuschleusen und damit die Kontrolle über den Rechner zu übernehmen.

Im Durchschnitt gaben die Sicherheitsverantwortlichen an, rund vier Wochen zu brauchen, bis wenigstens 90 Prozent der im Unternehmen eingesetzten Rechner mit einem neuen Patch versorgt sind. Die meiste Zeit vergeht dabei für ausgiebige Tests und Prüfungen im Vorfeld des Patches oder Updates. »Um akute Risiken – wie die derzeitige Lücke im Internet Explorer - zu minimieren, ist ein schnelles Handeln erforderlich«, mahnt jedoch Peter Graf, Geschäftsführer von Ampeg.

Warten heißt Daten riskieren

Auch wenn die Test eines Patches wichtig sind und vor größeren Problemen durch einen ungeprüften Rollout schützen können, so sind sie zugleich stets auch zeitkritisch. Angesichts der Tatsache, dass täglich mehrere tausend neue Viren und -Varianten entdeckt werden, wird die Geschwindigkeit bei der Umsetzung der unternehmenseigenen Sicherheitsrichtlinien immer entscheidender.

Rund 90 Prozent der Befragten gaben an, Updates und Patches erst ausgiebig intern zu testen, bevor sie ausgerollt werden. Allerdings schafft es nur knapp ein Drittel (32 Prozent) der Unternehmensverantwortlichen, diese Prüfung wirklich innerhalb weniger Stunden nach Erscheinen eines Patches durchzuführen und abzuschließen. Über die Hälfte der Befragten gab an, dass dieser Prozess in ihrem Unternehmen mindestens einen kompletten in Anspruch nimmt, oft sogar noch länger. Zehn Prozent testen hingegen überhaupt nicht und verlassen sich völlig auf die Vorarbeit der Softwareanbieter.

Mit diesen Prozessabläufen sind somit einige Unternehmen alleine schon eine Woche damit beschäftigt, einen wichtigen Patch für die IT-Sicherheit zu testen. Auch der tatsächliche Rollout auf die Produktivsysteme kann dann im nochmals bis zu vier Wochen in Anspruch nehmen. Gerade wenn es sich um hochkritische Updates handelt, ist dieser Zeitraum angesichts der heutigen Gefährdungslage viel zu lang.

Conficker zeigt deutlich die Schwächen

Obwohl die entsprechende Lücke längst geschlossen ist, vermehrt sich Conficker munter weiter. (Bild: http://www.confickerworkinggroup.org)

Doch selbst wenn Tests und Rollouts relativ zeitnah umgesetzt werden können, ist die IT-Landschaft noch nicht unbedingt ausreichend abgesichert, wie weitere Nachfragen zeigen. So können nur 59 Prozent der Befragten anschließend auch sicher beantworten, ob ein Rollout erfolgreich war. Indem also vielerorts die Qualität der Updateverteilung und damit der erreichten Sicherheit nicht nachvollziehbar ist, wird neben der Geschwindigkeit auch die Transparenz des Patch-Managements zu einem zentralen Problem bei der Absicherung einer Unternehmens-IT.

Ein solides Qualitätsmanagement mit einer verlässlichen Einschätzung der eigenen Sicherheits- und Gefährdungslage ist somit in vielen Unternehmen unmöglich. »Je schneller Schwachpunkte im Netzwerk festgestellt werden, desto schneller und präziser können die Security-Verantwortlichen Verbesserungsmaßnahmen einleiten«, so Peter Graf.

Wie gefährlich dieses Zögern bei der Verarbeitung von Sicherheitspatches sein kann, zeigt eindrucksvoll der Trojaner Conficker: Obwohl die vom Wurm genutzte Lücke in Microsoft Windows bereits seit Ende 2008 bekannt und geschlossen ist, verursacht Conficker noch immer die dritt meisten Infektionen weltweit. Erst vor wenigen Tagen infizierte sich etwa die britische Polizei mit dem gefährlichen Wurm, der eigentlich schon längst ausgemerzt sein könnte und sollte. »Erst vor Kurzem haben wir zwei Hilferufe von Unternehmen erhalten, die sich den Conficker-Wurm eingefangen haben. Ein Jahr nach Bekanntwerden der Computerwurms«, berichtet auch Graf kopfschüttelnd aus seinem Arbeitsalltag. Auch dank nachlässigem Patch-Management konnte Conficker bis heute weltweit rund 6,5 Millionen IP-Adressen infizieren.

[1] http://www.informationweek.de/infrastruktur/sicherheit/artikel-8615.html
[2] http://www.ampeg.de/

Verwandte Artikel