Regelmässige Patches sind unerlässlich, bedeuten für die IT aber hohen Zeitaufwand und nicht unerhebliche Kosten. Mit einem automatisierten Patch-Management können die Unternehmen nicht nur den Aufwand reduzieren, sondern auch dafür sorgen, dass die Updates zeitnah und lückenlos vorgenommen werden.
Gastbeitrag von Hans-Heinrich Aenishänslin, Regional Sales Senior Manager bei Dell in Frankfurt am Main
Die Komplexität der IT nimmt weiter zu. Als ob die Unternehmen damit nicht schon genug zu tun hätten, sind sie nun auch mit mobilen Systemen konfrontiert, die mit ihrer kaum noch überschaubaren Vielfalt alles noch schwieriger machen. Und als wäre das noch immer nicht genug, bringen die Mitarbeiter neuerdings auch noch eigene Geräte mit – Stichwort Byod (Bring your own device). In so einem Umfeld ist es für die IT-Abteilungen nicht einfach, die nötige Kontrolle zu behalten, für eine konsistente Administration und effiziente Prozesse zu sorgen, und nicht zuletzt die Sicherheit von Daten und Anwendungen zu gewährleisten.
Komplexe Systeme verursachen in der Regel einen erheblichen Overhead für die Systemverwaltung. Schon vor einiger Zeit hat IDC festgestellt, dass in der IT rund 70 Prozent der Arbeitszeit auf Wartung und Administration entfällt, so dass für innovative Aufgaben nur noch 30 Prozent bleiben. Vermutlich sind diese Zahlen noch optimistisch: so hat eine Untersuchung von Dell ergeben, dass mancherorts 80 Prozent der Zeit allein auf Updates entfallen.
Ein wesentlicher Faktor ist dabei das Einspielen von Patches. Das ist zwar eine Arbeit, die man spontan nicht unbedingt als produktiv und innovativ bezeichnen würde, sie ist aber dennoch unerlässlich. Patchen ist sogar unternehmenskritisch, weil nicht gepatchte Systeme in Unternehmensnetzen eine echte Sicherheitslücke darstellen. Einer Studie des National Institute of Standards and Technology (NIST) zufolge haben 90 Prozent der erfolgreichen Angriffe gegen Unternehmen bekannte Schwachstellen genutzt und hätten verhindert werden können, wenn die Systeme richtig gepatcht gewesen wären.
In vielen Fällen erfolgt das Patchen jedoch nicht zentral, was ebenfalls zu Problemen führen kann. Abgesehen vom höheren Aufwand ergeben sich daraus zusätzliche Sicherheitsrisiken, weil es einfach zu lange dauert, bis wirklich jedes System erfasst ist. Unternehmen haben hier immer das Risiko, zumindest zeitweise hinterherzuhinken oder ungeprüfte Patches zu verwenden. Angesichts der Vielzahl von Patches, die heute nötig sind, müsste eine IT-Abteilung ohnehin kontrollieren, ob die Nutzer beziehungsweise Abteilungen ihren Aufgaben hier auch tatsächlich zeitnah nachkommen. Allein Microsoft veröffentlicht zum Beispiel in seinen monatlichen "Patch Tuesday"-Bulletins mehr als ein Dutzend kritische Änderungen; dazu kommen Out-of-Band-Patches, Updates von anderen Software-Anbietern und solche für Hardware, Firmware und Entwicklungssysteme, und zwar für Desktop-Computer und Server, von Smartphones und Tablets, sowie die entsprechenden Anwendungen. Dieser Aufwand ist letztlich nicht mehr dezentral und manuell, sondern nur zentral und automatisch auf effiziente und sichere Weise zu bewältigen.
Tatsächlich nutzen mehr und mehr Unternehmen Systeme für ein zentrales Patch-Management, die diese Aufgabe zuverlässiger und sicherer erledigen können. Automatisierte Patches können zum Beispiel auch die wachsende Zahl von Exploits aufdecken, die sich speziell gegen Systeme richten, bevor diese aktualisiert wurden. Auch wenn sich die Security-Branche verstärkt um die "Zero-Day"-Exploits, also um Sicherheitslücken für die Hersteller noch keine Patches bereitgestellt haben, bemüht, so können sich Hacker und Cyber-Kriminelle immer wieder Zutritt zu nicht gepatchten Systemen verschaffen – sogar noch lange nachdem die Patches veröffentlicht wurden. Schwierigkeiten können sich ausserdem ergeben, wenn Unternehmen nicht getestete Patches verwenden, die sich im produktiven Betrieb nicht mit anderen Anwendungen oder Systemen vertragen.
Für Unternehmen kann ein unkoordiniertes Vorgehen zu Störungen im IT-Betrieb oder zu Ausfallzeiten führen. Zur Minimierung solcher Risiken sollten Unternehmen Patches immer auch testen oder mit einem Anbieter zusammenarbeiten, der ihnen entsprechend getestete Patches zur Verfügung stellt. Nicht aktualisierte Systeme sollten unter Quarantäne gestellt werden, bis die Patches getestet und eingespielt sind.
Vorteile durch Automatisierung
Natürlich ist eine Patch-Management-Lösung zunächst mit Kosten verbunden, doch die Vorteile überwiegen den Aufwand für die Implementierung solcher Tools. Automatisierung reduziert die Sicherheitsrisiken und die Ausfallzeiten durch ungetestete Updates. Es vermeidet auch unproduktive Arbeiten, weil die Patches nicht mehr während der Arbeitszeit installiert werden müssen, sondern automatisch, also ohne manuelle Eingriffe und Überwachung implementiert werden.
Die Nutzer verfügen über Apps und Geräte, die immer aktuell sind, auch wenn das IT-Team nicht vor Ort ist, beispielsweise an räumlich getrennten Niederlassungen. Dabei können die Systeme sogar abgeschaltet werden, weil das Patch-Management sie selbstständig aktivieren kann, um sie über Nacht auf den neuesten Stand zu bringen. End-Anwender merken von dem ganzen Vorgang dann in der Regel gar nichts.
Die Automatisierung des Patch-Managements bietet der IT-Administration damit eine ganze Reihe von messbaren Vorteilen:
• Schnellere Durchführung von Patches
• Reduzierung des Workloads auf den produktiven IT-Systemen
• Granulare Kontrolle über die Anwendung von Patches bis zu den Ende-Anwendern
• Detailliertes Reporting
• Aktueller Überblick über den Zustand der Systeme
Da jede IT-Landschaft letztlich singulär ist, kann es eine einheitliche Herangehensweise genauso wenig geben wie ein einziges Patch-Management-System, das alle Anforderungen eines jeden Unternehmens erfüllt. Ein gutes System muss sich daher auch leicht an aktuelle Erfordernisse anpassen lassen. Darüber hinaus muss es die Erstellung von Templates unterstützen, damit wiederholte Prozesse auch innerhalb des Patch-Management-Systems automatisiert werden können.
Analysten haben herausgefunden, dass ein zentrales Patch-Management die Zeit für die Bereitstellung von Patches oder die Aktualisierung von aktualisieren Security-Software um bis zu 80 Prozent reduzieren kann. Es ergibt sich für die IT also eine deutliche Zeit- und Kostenersparnis. Der eigentliche Vorteil liegt aber neben der Kosten- und Zeitersparnis vor allem in einer grösseren Sicherheit, die sich durch die schnellere und lückenlose Aktualisierung der Systeme ergibt.
