Update- und Patchmanagement: So sind Sie auf der sicheren Seite

Update- und Patch-Management kling erst einmal nicht so spannend. Es ist aber enorm wichtig. Denn: Keine Software ist hundertprozentig sicher. Wenn Sicherheitslücken auftauchen, entwickeln daher viele Hersteller Patches.

Gerade bei diesen Out-of-Band-Updates zählt jede Sekunde. Ohne Update ist das System weiterhin angreifbar. Doch auch im Normalbetrieb ist es wichtig, dass Ihre Systeme immer aktuell sind. Dafür müssen die Prozesse bei Ihnen allerdings wie am Schnürchen laufen.

Doch wie funktioniert ein umfassendes Update- und Patchmanagement? Das zeigen wir Ihnen anhand von acht Anforderungen. 

Gerade in größeren Institutionen ist es eine Herkulesaufgabe, alle IT-Komponenten stets aktuell zu halten. Wird diese Aufgabe allerdings vernachlässigt, drohen ernsthafte Konsequenzen.

Ohne ein funktionierendes Update- und Patch-Management können ernsthafte Sicherheitslücken entstehen. Die Gefahr: Sie können von außen ausgenutzt werden. Mit derartigen Hintertürchen haben Hacker:innen leichtes Spiel. Die möglichen Folgen: Ihre Systeme werden lahmgelegt, Sie verlieren Ihre Daten, Sie erleiden finanziellen Verlust und obendrein leidet das Image Ihrer Organisation. 

Diese Risiken kann ein geeignetes Update- und Patch-Management inklusive Konzept stark verringern. Das Ziel: Alle Änderungen an Anwendungen, Infrastruktur, Dokumentationen, Prozessen und Verfahren sollen steuer- und kontrollierbar werden. 

Bevor Sie ein detailliertes Konzept zum Update- und Patch-Management erstellen können, sollten Sie erst einmal Inventur machen. Dazu scannen und inventarisieren Sie alle Server, Geräte, Netzwerkkomponenten, Anwendungen und Dienste sowie vor allem auch mobile Geräte, Cloud-Dienste und – soweit vorhanden – IoT-Geräte.

Diese Inventur sollten Sie mindestens regelmäßig, am besten aber fortlaufend durchführen. Teil der Inventur ist auch der Sicherheitszustand der IT-Umgebung. Dazu gehört, ob die Firm- und Software aktuell ist – also das Patchlevel – oder ob eine Schwachstelle vorliegt.

Auf Ihrer Inventur aufbauend können Sie sich nun an Ihr Konzept machen. 

Wer ist für was zuständig? Die Beantwortung dieser Frage bildet das Kernstück Ihres Konzepts. Wenn Sie die Verantwortlichkeiten für alle Organisationsbereiche geklärt haben, wissen alle Beteiligten, was sie zu tun haben. Das steigert die Effizienz. Außerdem wissen alle anderen Mitarbeitenden, an wen sie sich in welchem Fall wenden müssen.

Die Zuständigkeiten sollten sich zusätzlich in Ihrem Berechtigungskonzept wiederfinden.   

Alle Prozesse Ihres Update- und Patch-Managements sollten detailliert festgelegt sein, damit es in der Anwendung nicht zu Verunsicherung und Inkonsistenz kommt. Dabei regeln Sie alle Prozesse rund um Planung, Genehmigung, Durchführung, Dokumentation und Kontrolle. 

Wichtig: Testen Sie die Prozesse im Vorfeld. So können Sie Fehler ausmerzen und merken nicht erst im Notfall, was nicht funktioniert.

Ein Detail, das Sie in Ihrem Update- und Patch-Management nicht vergessen sollten, ist die Priorisierung. Legen Sie Kriterien zur Einschätzung von Änderungen fest. So verhindern Sie, dass unwichtige Updates zuerst eingespielt werden, während an anderer Stelle eine wichtige Sicherheitslücke besteht. Außerdem werden so fehlerhafte Einschätzungen Ihrer Software zum Patchmanagement schneller erkannt.

Auch Wiederherstellungsoptionen sind ein wichtiges Detail für Ihr Management. Definieren Sie Prozesse für die Erstellung von Backups und Snapshots und vor allem: Prüfen Sie im Vorfeld, ob diese Prozesse funktionieren. Sollte beim Patchen mal etwas schiefgehen, kann es sonst schwierig sein, Daten wiederherzustellen und Änderungen rückgängig zu machen.

Gleiches gilt für integrierte Update-Mechanismen, die Autoupdates durchführen. Wie soll mit derartigen Mechanismen umgegangen werden? Welche Absicherungen und Konfigurationen sind erforderlich? Überprüfen Sie auch neue Komponenten auf Update-Mechanismen. 

Mit Ihrer Dokumentation können Sie nachvollziehen, was Sie wann angepasst haben und welche Auswirkungen es hatte. Wenn später Fehler auftreten, ist es wichtig zu wissen, was gemacht wurde. Außerdem bildet Ihre Doku eine gute Basis für künftige Entscheidungen und Einschätzungen.

Sind die Mitarbeitenden Ihrer Institution nicht an Bord, funktioniert auch Ihr Update- und Patch-Management nicht. Die Folge: Sie sind ineffizient, Sicherheitslücken können entstehen und Sie schießen an Ihren Zielen vorbei. Laut Umfragen scheitern in fast der Hälfte der Unternehmen IT-Sicherheitsstrategien aufgrund mangelnder Awareness.

Daher: Sensibilisieren Sie Ihre Mitarbeitenden zu dem Thema IT-Sicherheit – angefangen mit dem Management. Auf Basis Ihrer Risikobewertung und Schwachstellen-Priorisierung können Sie die wichtigsten Schulungsthemen für Ihr Unternehmen anbieten. Das Stichwort ist hier vorausschauendes Schwachstellenmanagement. Schulungen zu erwarteten Bedrohungen reduzieren das Schadensrisiko.

Machen Sie außerdem klar, warum ein Update- und Patch-Management so wichtig ist. Stellen Sie die entsprechenden Dokumente allen zur Verfügung und erklären Sie, wie Prozesse funktionieren. Auch das Einüben und Testen von Prozessen kann für Sicherheit und mehr Akzeptanz sorgen.  

Bevor Sie Änderungen einspielen, sollten Sie diese immer auf Auswirkungen, Kategorie und Priorität hin überprüfen. Dabei sollten Sie die Prozesse Ihrer Institution und die Fachaufgaben nicht außenvorlassen. Sonst kann es schnell zu einer Beeinträchtigung kommen. Auch wichtig: Die zuständigen Fachabteilungen sollten informiert werden und sich untereinander abstimmen. Das reduziert das Risiko für Fehleinschätzungen.

Damit beim Patchen und Updaten nichts schief geht, benötigen Sie die für Ihre Organisation erforderlichen Ressourcen. Das sind neben Zeit und Geld vor allem personelle Ressourcen – also das entsprechende Know-how. Wie gut Sie tatsächlich aufgestellt sind, zeigt sich vor allem in Notfallsituationen und unter Zeitdruck.

Damit es hier nicht zu Problemen kommt, sollten Sie sich bereits im Vorfeld um die nötigen Kapazitäten für Test- und Verteilungsumgebungen kümmern sowie ausreichend Personal einstellen. Dies ist auch für die Kommunikation zwischen der IT und den einzelnen Fachbereichen essentiell.  

Nur wenn Sie wissen, welche möglichen Sicherheitslücken es gibt, können Sie Ihre IT-Systeme schützen. Informieren Sie sich daher regelmäßig über Schwachstellen bei Firmware, Betriebssystemen und eingesetzten Anwendungen und Diensten.

Gute Sicherheitswarnungen erhalten Sie u.a. hier: 

• BSI
• CERT Bund
• Heise
• Twitter
• Hersteller der eingesetzten Hard- und Software 

Wenn Sie eine Sicherheitslücke entdecken, für die noch kein Update zur Verfügung steht, müssen Sie andere geeignete Maßnahmen zum Schutz des IT-Systems treffen. Was hier zu tun ist, hängt davon ab, wie schwerwiegend die Schwachstelle und die Bedrohungen sind.

Cyberangriffe sind aktuell eine der größten Gefahren für Organisationen. Daher ist es umso wichtiger, dass Sie sich sicher aufstellen. Ein Teil Ihrer Strategie sollte ein geeignetes Update- und Patch-Management sein. So sind Sie optimal auf mögliche Sicherheitslücken vorbereitet.  

Angefangen bei unseren IT-System-Check, mit dem wir die Inventur bei Ihnen durchführen bis hin zu Monitoring und der Wartung Ihrer Systeme – wir sind an Ihrer Seite und unterstützen Sie dabei, Ihre Organisation sicher aufzustellen. Gemeinsam mit Ihnen entwickeln wir ein Sicherheitskonzept inklusive Update- und Patchmanagement, um Ihre Organisation nach außen abzusichern.

Bundesamt für Sicherheit in der Informationstechnik (2021): „OPS.1.1.3: Patch- und Änderungsmanagement“, Februar 2021, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium_Einzel_PDFs_2021/04_OPS_Betrieb/OPS_1_1_3_Patch_und_Aenderungsmanagement_Edition_2021.pdf?__blob=publicationFile&v=2, letzter Zugriff am 14. April 2021.

Tenable Network Security GmbH (2019): „Schwachstellen-Management“, Security-Insider, April 2019, https://www.security-insider.de/schwachstellen-management-d-41385/, letzter Zugriff am 14. April 2021.