Ein strukturiertes, gewissenhaftes Patch-Management ist eine tragende Säule eines nachhaltigen und effektiven IT-Sicherheitskonzepts in Unternehmen. Diese Aussage wird eindrucksvoll durch ein besonders alarmierendes Beispiel für die Konsequenzen einer laxen Handhabung von Sicherheitsupdates & Co. bewiesen.
Datendiebstahl bei Equifax
Tatort des Abflusses von 143 Millionen personenbezogenen Datensätzen ist der US-Finanzdienstleister Equifax, als größte Wirtschaftsauskunftei der USA ungefähr vergleichbar mit der deutschen Schufa. Datendiebstahl kommt vor – aber eine plausible Erklärung für den mehr als fragwürdigen zeitlichen Verlauf ist das Unternehmen bis heute schuldig geblieben. Denn der Vorfall ereignete sich im Mai, wurde im Juli entdeckt und erst im September publik gemacht. Besonders pikant: Die von den Tätern ausgenutzte Sicherheitslücke ist bereits seit März bekannt, und der Hersteller hatte den Patch umgehend bereitgestellt. Warum die Lücke daraufhin nicht geschlossen wurde, scheint das Geheimnis der Verantwortlichen zu bleiben, die ihren Hut verständlicherweise inzwischen nehmen mussten. Das Unternehmen selbst steht aus nachvollziehbaren Gründen vor dem wirtschaftlichen Abgrund.
Leider ist Equifax nur ein Beispiel von vielen. Das Patch-Management wird nach wie vor sträflich vernachlässigt. Verizon zeichnet in seinem aktuellen Data Breach Investigations Report ein düsteres Bild: Während sich Angriffe auf Unternehmensnetzwerke binnen Minuten oder gar Sekunden abspielen, brauchen die Verantwortlichen für deren Entdeckung sowie die Behebung von Vorfällen und Absicherung von Schwachstellen Wochen, Monate, zum Teil sogar Jahre. Dies liegt teilweise in einer gewissen Selbstzufriedenheit der handelnden Akteure begründet, wie der australische Softwarehersteller MYOB in einer Umfrage unter 394 seiner kleineren und mittleren Kunden im August dieses Jahres herausfand: 87 Prozent der Befragten waren von der Wirksamkeit ihrer Cyberabwehr überzeugt, weil sie doch Antiviren-Software einsetzten. Außerdem hielten es 32 Prozent für unnötig, etwas an ihrer IT-Sicherheit zu verbessern, da sie ohnehin nicht übermäßig im Internet tätig seien. Doch auch bei Organisationen, die sich der Bedeutung eines konsistenten Patch-Managements bewusst sind, lässt die Gewissenhaftigkeit zu wünschen übrig. Zu hoch scheint vielen der Aufwand.
Der Einfluss von Patch Management auf IT-Sicherheit
Unternehmen können auf Sicherheits-Empfehlungen von vielen unabhängigen, seriösen und kompetenten Quellen weltweit zurückgreifen, wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland, dem Center for Internet Security (CIS) in den USA oder der Internationalen Organisation für Normung (ISO), um nur einige zu nennen. Des Weiteren beraten auch die US-Organisationen Nationales Institut für Standards und Technologie (NIST) sowie das Federal Bureau of Investigation (FBI) bei der Verbesserung der Cybersicherheit. Und sie sind sich einig: Ein zeitnahes, umfassendes Patch-Management in Kombination mit einer effektiven Überwachung von Anwendungen, Geräten und Zugriffen macht den Unterschied zwischen Verwundbarkeit und größtmöglichem Schutz.
Die von der gleichnamigen Organisation herausgegebene Liste der CIS Controls verdichtet sämtliche Sicherheitsempfehlungen aller relevanten Cybersicherheits-Einrichtungen und -Behörden weltweit. Unternehmen, die es schaffen, die ersten fünf Punkte der Checkliste zu erfüllen, sind vor den meisten Bedrohungen weitgehend geschützt.
Die Top 5 der CIS Controls
- Erfassung aller autorisierten und nicht-autorisierten Geräte
- Erfassung aller autorisierter und nicht-autorisierter Software
- Sichere Hard- und Software-Konfiguration
- Kontinuierliche Erfassung und Schließung von Schwachstellen
- Stark reglementierte Vergabe und Nutzung von Administratoren-Rechten
Patch-Management spielt auch hier eine zentrale Rolle, vor allem, um die Hard- und Softwarekonfiguration stets auf dem aktuell sicheren Stand zu halten. Das FBI stößt in das gleiche Horn: Zur Vorbeugung von Ransomware-Attacken empfiehlt das FBI neun Schritte, der erste davon ist „das Patchen von Betriebssystemen und Anwendungen.“ Das deutsche BSI gibt in seinem Ransomware Whitepaper, das bis heute nicht an Aktualität verloren hat ähnliche Empfehlungen aus, und nennt als erste Präventionsmaßnahme Updates und Patches zum Schließen von Sicherheitslücken. Kurz und gut: Effektive Cybersicherheit ist mit einem konsistenten, umfassenden und unverzüglichen Patch-Management aller geschäftskritischen Endgeräte, Server, Anwendungen und Betriebssysteme erreichbar.
Wo der Schuh drückt
Es scheint also breiten Konsens hinsichtlich der Bedeutung von Patch-Management zu geben. Wo drückt IT-Verantwortliche, CIOs und Geschäftsführer also der Schuh, dass sie es nicht einfach tun? Komplexität, Kosten und konkurrierende IT-Prioritäten lauten die häufigsten Antworten aus deren Mündern. Mit Blick auf die IT scheint die Übersicht über die veröffentlichten Patches aller relevanten Software- und Betriebssystemhersteller sowie den jeweiligen Status aller unternehmensweiten Systeme, von Smartphone bis Server, allein eine schier unbezwingbare Herausforderung. Hinzu kommen die nötigen Ressourcen, um aktuelle Patches jederzeit und unverzüglich zu beziehen, testen und auszurollen. All dies erfordert auch Geld, zwar nicht für die in der Regel kostenlosen Patches, sondern primär für den Headcount des IT-Teams. Denn beim Patchen ist immer noch viel Handarbeit gefragt, gerade in heterogenen IT-Umgebungen. Automatisierungslösungen halten oft nicht, was sie versprechen und steigern ihrerseits die Komplexität aus verschiedenen Gründen noch weiter. Die Stichworte schwierige Installation, umständliche Anwendung oder eingeschränkte Funktionalität tauchen in diesem Zusammenhang immer wieder auf.
Und so jongliert die IT die vielfältigen Anforderungen der Businessnutzer und ihre Prioritäten. Zugunsten vermeintlich wichtigerer und geschäftskritischerer Projekte bleibt für das Patch-Management schlicht keine Zeit und kein Geld. Dabei ist das Sparen am Patch-Management eine klassische Milchmädchenrechnung. Das Ponemon Institut beziffert in seiner 2017er Ausgabe der Cost of a Data Breach Study die durchschnittlichen Folgekosten eines Datendiebstahls auf 3,62 Millionen US-Dollar – und die Wahrscheinlichkeit dafür auf 25 Prozent. Die Ausgaben für ein effektives Patch-Management, das weitgehend davor schützen kann, liegen deutlich darunter.
Wie es auch mit dem Patch-Management klappt
So schwierig oder teuer wie es scheint, ist eine Verbesserung des Patch-Management gar nicht. Oft genügt es im ersten Schritt, die bereits verfügbaren, in Anwendungen integrierten Werkzeuge, punktgenau und systematisch einzusetzen. Gemäß der CIS Controls sollte am Anfang die Erfassung der gesamten Hard- und Softwarelandschaft stehen, und zwar sowohl die autorisierten als auch die nicht-autorisierten Systeme. Sobald eine vollständige Übersicht vorliegt, ist diese mit den Patch-Informationen der entsprechenden Hersteller abzugleichen. Daraus lässt sich eine Prioritätenliste mit den wichtigsten Anforderungen und Ziele erzeugen. Es ist nahezu unmöglich, und auch nicht immer nötig oder sinnvoll, alles auf einmal patchen zu wollen. Umso wichtiger ist es, dies bei den wichtigsten und meist gefährdeten Ressourcen zu tun. Das Augenmerk sollte zudem auf einer umfassenden Kontrolle und Einschränkung von Anwendungen liegen, um dort Schutz zu gewährleisten, wo Schwachstellen oder Schadsoftware dem Patch-Radar möglicherweise entgehen. Die gleiche Prioritätenliste bildet auch die Basis für die Etablierung eines Prozesses für Bezug, Test und Ausbringung der wichtigsten Patches. Einmal verankert, hilft ein Tracking und regelmäßiges Reporting dabei, den Patch-Management-Prozess unternehmensweit kontinuierlich zu verbessern und auch auf der Ebene der Geschäftsentscheider das dringend nötige Bewusstsein für dieses wichtige Standbein für mehr IT-Sicherheit – und damit mehr Geschäftserfolg – zu schärfen. Zweiflern sollte das abschreckende Beispiel Equifax vor Augen geführt werden: Wie das Vernachlässigen eines zwar nicht trivialen, aber durchaus handhabbaren IT-Prozesses das Ende eines über hundert Jahre alten Konzerns mit über 8.000 Mitarbeitern fast über Nacht einläuten kann.
Bernhard Steiner, Director PreSales EMEA Central bei Ivanti