Wenn nicht perfekt patchen kann, sollte zumindest mit Plan vorgehen
In jedem einzelnen Internet Security Report, den wir jemals veröffentlicht haben, finden sich Hinweise, dass Bedrohungsakteure immer wieder bekannte Schwachstellen ausnutzen, für die es bereits seit Monaten – wenn nicht sogar Jahren – Patches gibt. Selbst das Gefahrenpotenzial von Zero-Day-Exploits (also Bedrohungen, für die es noch keine Signatur gibt) fällt dagegen kaum ins Gewicht. Daher an dieser Stelle nochmal die dringende Empfehlung: Patchen Sie Ihre Software regelmäßig und schnell. Denn sonst kann selbst die ausgefeilteste Security-Strategie auf Basis modernster Technologien kaum Wirkung entfalten.
Die Gefahr ist bekannt und der gute Vorsatz auf Unternehmensseite durchaus zu erkennen. In der Praxis zeigt sich jedoch leider allzu oft, dass viele kaum in der Lage sind, entsprechend zu agieren. Manche sind beispielsweise von veralteten Anwendungen abhängig, die auf längst überholten Betriebssystemen basieren. Das ist zwar nicht ideal, aber die Suche nach Alternativen kostet Zeit. Darüber hinaus wird es gerade für kleine Teams zunehmend schwieriger, umfangreiche Infrastrukturen konsequent zu verwalten.
Dennoch ist es extrem wichtig, dass die kritischsten Schwachstellen schnellstmöglich gepatcht werden. Was also können Unternehmen tun, die diesbezüglich immer wieder ins Hintertreffen geraten?
Hierbei hilft, eine strukturierte Patching-Richtlinie mit klar definierten Vorgaben zu implementieren, bei der kritische Schwachstellen priorisiert werden. Wer sich nicht um jeden Patch kümmern kann, sollte sich zuerst auf die wichtigen konzentrieren. Obwohl ein solches Konzept die Grundvoraussetzung ist, fehlt es meist an einer formellen Patch-Richtlinie mit eindeutigen Service Level Agreements (SLA) und Schweregraddefinitionen, die auf die Risikobewertung des jeweiligen Unternehmens zugeschnitten sind. Der Handlungsbedarf ist offensichtlich.
Die Priorität muss auf eindeutigen Vorgaben im Hinblick auf das Patchen von Softwarelücken mit dem höchsten Schweregrad liegen. So sollten beispielsweise Patches mit hohem und kritischem Schweregrad innerhalb von 30 Tagen bereitgestellt werden, für Patches mit mittlerem und niedrigem Schweregrad sind 90 bis 180 Tage anzusetzen. Der konkrete Einsatz einer Software ist dabei ein entscheidender Schlüsselfaktor: Wenn eine Anwendung beispielsweise Berührungspunkte zur Außenwelt eines Unternehmens hat, sollten Patches deutlich früher erfolgen als bei einer Software, die nur intern verwendet wird. Ein geringeres Risiko erlaubt auch eine längere Wartezeit.
Zusammenfassend lässt sich sagen, dass sich jedes Unternehmen bemühen sollte, alles so schnell wie möglich zu patchen. Wenn das nicht möglich ist, gilt es, mit Bedacht eine risikobasierte Richtlinie zu etablieren. Der Einsatz von automatisierten Patching- und Kontrollwerkzeugen trägt dazu bei, die individuellen Bestimmungen einzuhalten.
Wenn Sie weitere Einblicke und Abwehrtipps zum Schutz Ihres Netzwerks vor den gegenwärtigen Bedrohungen wünschen, sollten Sie unbedingt einen Blick in den jüngsten Internet Security Report werfen. Mehr zum Thema Patch-Management erfahren Sie hier: WatchGuard Patch Management.
