Automatisierung, aber richtig!
„Patchen muss gar nicht nerven“
Das Patchen von Software-Anwendungen ist eine verdammt undankbare Aufgabe. Läuft alles reibungslos, nimmt niemand Notiz davon. Dringt aber ein Hacker in ein ungeschütztes System ein, ist der Ärger groß. Was also tun, und vor allem wie geht automatisiertes Patchen?
Updates, die Netzwerkverbindungen verstopfen oder Rechner von Mitarbeitern ausbremsen, sind noch vergleichsweise harmlos, bedenkt man, welche Folgen ein Cyberangriff auf eine nicht gepatchte Schwachstelle haben kann. Leider ist es für IT-Teams inzwischen fast unmöglich, alle Schwachstellen zeitnah abzudichten – dafür sorgen wachsende Anwendungslandschaften und Patch-Prozesse, die wegen der vielen manuellen Arbeitsschritte nur linear skalieren. Doppelt so viele Patches heißt doppelt so viel Arbeit. Wie kommt man raus aus dieser Zwickmühle. connect channel fragt Andy McDonald, Director of Support & Solutions bei Adaptiva
connect channel: Patchen ist zwar sicherheitskritisch, hat sich aber offenbar nicht herumgesprochen. Warum sind ungepatchte Systeme eher die Regel statt Ausnahmen?
Andy McDonald: Da Unternehmen im Zuge ihrer Digitalisierung unzählige neue Tools eingeführt haben, ist über IT-Teams eine regelrechte Patch-Flut hereingebrochen. Oft müssen sie weit über hundert Anwendungen auf dem neuesten Stand halten, also mehr oder weniger kontinuierlich nach Sicherheitsaktualisierungen suchen, diese herunterladen, priorisieren, testen, verteilen und installieren. Ist eine Anwendung wieder up to date, kommt sofort die nächste dran, sodass sich Patchen wie Sisyphusarbeit anfühlt – man wird nie damit fertig. Besonders frustrierend ist es, wenn man noch mitten im Rollout eines Patches steckt und schon der nächste für genau diese Anwendung eintrudelt.
Was folgt daraus typischerweise?
McDonald: In der Regel bleibt den IT-Teams gar nichts anderes übrig, als den Testumfang zurückzufahren und sich auf Patches zu konzentrieren, die hochkritische Schwachstellen oder viele Systeme im Unternehmen betreffen.
Wenn die IT unter Zeitdruck steht, ist Priorisierung doch nichts Schlechtes?
McDonald: Cyberkriminelle kennen ein solcher Vorgehen und sie nehmen daher auch weniger kritische Lücken und weniger verbreitete Anwendungen ins Visier. Schließlich reicht es ihnen, einen einzigen Rechner zu kompromittieren, der dann als Einstiegspunkt ins Unternehmensnetzwerk dient. Von dem aus können sie sich zu den wirklich wichtigen Systemen vorarbeiten.
Automatisieren hilft. Und das machen ja auch sehr viele IT-Verantwortliche.
McDonald: Vorsicht! Nicht überall, wo Patch-Automatisierung draufsteht, ist auch wirklich Patch-Automatisierung drin. Manchmal wird schon ein Feed mit Metadaten, der sich in das Endpoint Management integrieren lässt, als Automatisierung verkauft, obwohl sich die IT-Teams weiterhin selbst um die Priorisierung der Patches, die Tests auf verschiedenen Systemen und die Verteilung kümmern müssen.
Wie muss wirkliche Patch-Automatisierung funktionieren?
McDonald: Gute Tools automatisieren den gesamten Patch-Prozess und sind dabei so flexibel und anpassbar, dass sich jeder Patch individuell behandelt lässt. Je nach Kritikalität oder betroffener Anwendung wird er automatisch auf ganz bestimmten Testsystemen installiert, wartet auf vorgegebene Freigaben und wird dann sofort oder in bestimmten Zeitfenstern ausgerollt – gestaffelt beispielsweise nach Endpoint-Typen, Abteilungen oder Regionen.
Braucht es jemanden, der solche Skripte programmieren kann?
McDonald: Optimalerweise müssen die IT-Teams nicht erst komplizierte Skriptsprachen lernen, sondern können ihre automatischen Abläufe auf grafischen Oberflächen aus vorgefertigten und selbst erstellten Komponenten zusammenbauen. Das ist intuitiv und erleichtert die Einarbeitung. Natürlich muss man erstmal ein wenig Hirnschmalz und Zeit investieren, um alle benötigten Patch-Szenarien auszuarbeiten und abzubilden. Aber dieser einmalige Aufwand lohnt. Es macht einfach Spaß zu sehen, wie nach der Veröffentlichung eines Patches sofort der richtige Ablauf startet und all die nervigen, sich immer wiederholenden manuellen Arbeitsschritte plötzlich wegfallen.
Lesen Sie mehr zum Thema
