Update- und Patchmanagement: So sind Sie auf der sicheren Seite

Update- und Patch-Management kling erst einmal nicht so spannend. Es ist aber enorm wichtig. Denn: Keine Software ist hundertprozentig sicher. Wenn Sicherheitslücken auftauchen, entwickeln daher viele Hersteller Patches.

Gerade bei diesen Out-of-Band-Updates zählt jede Sekunde. Ohne Update ist das System weiterhin angreifbar. Doch auch im Normalbetrieb ist es wichtig, dass Ihre Systeme immer aktuell sind. Dafür müssen die Prozesse bei Ihnen allerdings wie am Schnürchen laufen.

Doch wie funktioniert ein umfassendes Update- und Patchmanagement? Das zeigen wir Ihnen anhand von zehn Anforderungen. 

Gerade in größeren Institutionen ist es eine Herkulesaufgabe, alle IT-Komponenten stets aktuell zu halten. Wird diese Aufgabe allerdings vernachlässigt, drohen ernsthafte Konsequenzen.

Ohne ein funktionierendes Update- und Patch-Management können ernsthafte Sicherheitslücken entstehen. Die Gefahr: Sie können von außen ausgenutzt werden. Mit derartigen Hintertürchen haben Hacker:innen leichtes Spiel. Die möglichen Folgen: Ihre Systeme werden lahmgelegt, Sie verlieren Ihre Daten, Sie erleiden finanziellen Verlust und obendrein leidet das Image Ihrer Organisation. 

Zero-Day-Exploits sind Cyberangriffe, die dem Hersteller bisher unbekannte Sicherheitslücken nutzen. Sie heißen deshalb so, weil der Hersteller nach Bekanntwerden der Schwachstelle null Tage (zero days) Zeit hat, die Lücke zu beheben. Teilweise werden sie auch 1/51-Angriffe genannt, weil Angreifende eine Chance von 1 zu 51 haben, eine Schwachsteller erfolgreich auszunutzen, bevor sie gepatcht ist. Ein bekanntes Beispiel ist Log4Shell.

Kein Wunder also, dass derartige Angriffe schnell zum Katz-und-Maus-Spiel werden. Sobald eine Lücke entdeckt wird, versuchen Angreifende, diese so schnell wie möglich auszunutzen. Oft muss dafür eine gesonderte Anwendung (Exploit) entwickelt und beispielsweise durch Phishing eingeschleust werden – das dauert. Im Darknet wird für derartige Exploits viel Geld gezahlt. Grundsätzlich gilt: Je weiter ein System oder eine Software verbreitet ist, desto lukrativer ist ein Exploit. Einen Zoom Exploit haben Angreifende beispielsweise für 500.000 US-Dollar verkauft.

Werden die Lücke und das Ausnutzen bekannt, fängt das Spiel auf Seiten der Hersteller an. Diese versuchen, die Schwachstelle so schnell wie möglich zu schließen und Patches zur Verfügung zu stellen. Ist ein Exploit gepatcht, gilt er nicht mehr als Zero-Day-Bedrohung. Teilweise vergehen allerdings Tage, Wochen oder sogar Monate bis ein Exploit bekannt wird. Solange können Sicherheitslücken ausgenutzt werden. Hinzu kommt, dass nicht alle Nutzer:innen und Organisationen Patches zeitnah einspielen.

Cyberkriminelle greifen aber nicht immer sofort an. Oft infizieren sie Systeme und warten einen günstigen Zeitpunkt an. Diese verzögerten Angriffe und die Tatsache, dass die entsprechenden Sicherheitslücken bis zum Exploit unbekannt waren, machen es besonders schwierig, sich vor Zero-Day-Exploits zu schützen. Umso wichtiger ist ein effektives Patchmanagement. 

Diese Risiken kann ein geeignetes Update- und Patch-Management inklusive Konzept stark verringern. Das Ziel: Alle Änderungen an Anwendungen, Infrastruktur, Dokumentationen, Prozessen und Verfahren sollen steuer- und kontrollierbar werden. 

Bevor Sie ein detailliertes Konzept zum Update- und Patch-Management erstellen können, sollten Sie erst einmal Inventur machen. Dazu scannen und inventarisieren Sie alle Server, Geräte, Netzwerkkomponenten, Anwendungen, Betriebssysteme und Dienste sowie vor allem auch mobile Geräte, Cloud-Dienste und – soweit vorhanden – IoT-Geräte.

Sie können die Inventur auch nutzen, um aufzuräumen. Denn je weniger Systeme und Anwendungen vorhanden sind, desto geringer ist die Gefahr von Sicherheitslücken und Angriffen. Hier gilt: Weniger ist mehr.

Diese Inventur sollten Sie mindestens regelmäßig, am besten aber fortlaufend durchführen. Teil der Inventur ist auch der Sicherheitszustand der IT-Umgebung. Dazu gehört, ob die Firm- und Software aktuell ist – also das Patchlevel – oder ob eine Schwachstelle vorliegt .Prüfen Sie auch, ob Hersteller überhaupt noch Support und Patches anbieten oder ob das End-of-Life eines Systems oder einer Anwendung erreicht ist. Gibt es keinen Support mehr, sollten Sie die betroffenen Komponenten unbedingt austauschen.

Auf Ihrer Inventur aufbauend können Sie sich nun an Ihr Konzept machen. 

Wer ist für was zuständig? Die Beantwortung dieser Frage bildet das Kernstück Ihres Konzepts. Wenn Sie die Verantwortlichkeiten für alle Organisationsbereiche geklärt haben, wissen alle Beteiligten, was sie zu tun haben. Das steigert die Effizienz. Außerdem wissen alle anderen Mitarbeitenden, an wen sie sich in welchem Fall wenden müssen.

Die Zuständigkeiten sollten sich zusätzlich in Ihrem Berechtigungskonzept wiederfinden.   

Alle Prozesse Ihres Update- und Patch-Managements sollten detailliert festgelegt sein, damit es in der Anwendung nicht zu Verunsicherung und Inkonsistenz kommt. Dabei regeln Sie alle Prozesse rund um Planung, Genehmigung, Durchführung, Dokumentation und Kontrolle. 

Wichtig: Testen Sie die Prozesse im Vorfeld. So können Sie Fehler ausmerzen und merken nicht erst im Notfall, was nicht funktioniert.

Ein Detail, das Sie in Ihrem Update- und Patch-Management nicht vergessen sollten, ist die Priorisierung. Legen Sie Kriterien zur Einschätzung von Änderungen fest. So verhindern Sie, dass unwichtige Updates zuerst eingespielt werden, während an anderer Stelle eine wichtige Sicherheitslücke besteht. Außerdem werden so fehlerhafte Einschätzungen Ihrer Software zum Patchmanagement schneller erkannt.

Auch Wiederherstellungsoptionen sind ein wichtiges Detail für Ihr Management. Definieren Sie Prozesse für die Erstellung von Backups und Snapshots und vor allem: Prüfen Sie im Vorfeld, ob diese Prozesse funktionieren. Sollte beim Patchen mal etwas schiefgehen, kann es sonst schwierig sein, Daten wiederherzustellen und Änderungen rückgängig zu machen.

Gleiches gilt für integrierte Update-Mechanismen, die Autoupdates durchführen. Wie soll mit derartigen Mechanismen umgegangen werden? Welche Absicherungen und Konfigurationen sind erforderlich? Überprüfen Sie auch neue Komponenten auf Update-Mechanismen. 

Mit Ihrer Dokumentation können Sie nachvollziehen, was Sie wann angepasst haben und welche Auswirkungen es hatte. Wenn später Fehler auftreten, ist es wichtig zu wissen, was gemacht wurde. Außerdem bildet Ihre Doku eine gute Basis für künftige Entscheidungen und Einschätzungen.

Gerade Zero-Day-Exploits sind besonders schwierig abzuwehren. Umso wichtiger ist, dass Sie Ihre Systeme beobachten. Derartige Angriffe führen oft zu auffallend hohem Datenverkehr oder verdächtigen Scan-Aktivitäten, die von einem Client oder Dienst ausgehen. Hier kann der Einsatz vorhandener Datenbanken über Malware hilfreich sein. Diese dienen als Referenz, wodurch verdächtiges Verhalten identifiziert werden kann. Auch maschinelles Lernen kann helfen, Zero-Day-Exploits frühzeitig zu erkennen.

Vor allem bei Zero-Day-Bedrohungen bietet eine Firewall wirksamen Schutz. Maximale Sicherheit entsteht dann, wenn Firewalls so konfiguriert sind, dass sie nur notwendige Transaktionen zulassen. Einige Firewalls bieten zudem einen Stealth-Modus an. Dadurch sind Rechner im Netzwerk unsichtbar und für Angreifende weniger einfach aufzuspüren. Auch eine umfassende Antiviren-Lösung und eine Zwei-Faktor-Authentisierung bieten zusätzlichen Schutz. So können Sie effektiv das Risiko reduzieren, dass Angreifende im Rahmen von Cyberangriffen oder Zero-Day-Exploits Malware einschleusen.

Sind die Mitarbeitenden Ihrer Institution nicht an Bord, funktioniert auch Ihr Update- und Patch-Management nicht. Die Folge: Sie sind ineffizient, Sicherheitslücken können entstehen und Sie schießen an Ihren Zielen vorbei. Laut Umfragen scheitern in fast der Hälfte der Unternehmen IT-Sicherheitsstrategien aufgrund mangelnder Awareness.

Daher: Sensibilisieren Sie Ihre Mitarbeitenden zu dem Thema IT-Sicherheit – angefangen mit dem Management. Auf Basis Ihrer Risikobewertung und Schwachstellen-Priorisierung können Sie die wichtigsten Schulungsthemen für Ihr Unternehmen anbieten, zum Beispiel Gefahren durch Phishing oder das Installieren von Software aus nicht vertrauenswürdigen Quellen. Das Stichwort ist hier vorausschauendes Schwachstellenmanagement. Schulungen zu erwarteten Bedrohungen reduzieren das Schadensrisiko. Denn gerade Zero-Day-Angriffe sind oft auf menschliche Fehler zurückzuführen.

Machen Sie außerdem klar, warum ein Update- und Patch-Management so wichtig ist. Stellen Sie die entsprechenden Dokumente allen zur Verfügung und erklären Sie, wie Prozesse funktionieren. Auch das Einüben und Testen von Prozessen kann für Sicherheit und mehr Akzeptanz sorgen.  

Bevor Sie Änderungen einspielen, sollten Sie diese immer auf Auswirkungen, Kategorie und Priorität hin überprüfen. Dabei sollten Sie die Prozesse Ihrer Institution und die Fachaufgaben nicht außenvorlassen. Sonst kann es schnell zu einer Beeinträchtigung kommen. Auch wichtig: Die zuständigen Fachabteilungen sollten informiert werden und sich untereinander abstimmen. Das reduziert das Risiko für Fehleinschätzungen.

Damit beim Patchen und Updaten nichts schief geht, benötigen Sie die für Ihre Organisation erforderlichen Ressourcen. Das sind neben Zeit und Geld vor allem personelle Ressourcen – also das entsprechende Know-how. Wie gut Sie tatsächlich aufgestellt sind, zeigt sich vor allem in Notfallsituationen und unter Zeitdruck.

Damit es hier nicht zu Problemen kommt, sollten Sie sich bereits im Vorfeld um die nötigen Kapazitäten für Test- und Verteilungsumgebungen kümmern sowie ausreichend Personal einstellen. Dies ist auch für die Kommunikation zwischen der IT und den einzelnen Fachbereichen essentiell.  

Nur wenn Sie wissen, welche möglichen Sicherheitslücken es gibt, können Sie Ihre IT-Systeme schützen. Informieren Sie sich daher regelmäßig über Schwachstellen bei Firmware, Betriebssystemen und eingesetzten Anwendungen und Diensten.

Gute Sicherheitswarnungen erhalten Sie u.a. hier: 

• BSI
• CERT Bund
• Heise
• Twitter
• Hersteller der eingesetzten Hard- und Software 

Wenn Sie eine Sicherheitslücke entdecken, für die noch kein Update zur Verfügung steht, müssen Sie andere geeignete Maßnahmen zum Schutz des IT-Systems treffen. Was hier zu tun ist, hängt davon ab, wie schwerwiegend die Schwachstelle und die Bedrohungen sind.

Cyberangriffe sind aktuell eine der größten Gefahren für Organisationen. Daher ist es umso wichtiger, dass Sie sich sicher aufstellen. Ein Teil Ihrer Strategie sollte ein geeignetes Update- und Patch-Management sein. So sind Sie optimal auf mögliche Sicherheitslücken vorbereitet.  

Angefangen bei unseren IT-System-Check, mit dem wir die Inventur bei Ihnen durchführen bis hin zu Monitoring und der Wartung Ihrer Systeme – wir sind an Ihrer Seite und unterstützen Sie dabei, Ihre Organisation sicher aufzustellen. Gemeinsam mit Ihnen entwickeln wir ein Sicherheitskonzept inklusive Update- und Patchmanagement, um Ihre Organisation nach außen abzusichern.

Bundesamt für Sicherheit in der Informationstechnik (2021): „OPS.1.1.3: Patch- und Änderungsmanagement“, Februar 2021, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium_Einzel_PDFs_2021/04_OPS_Betrieb/OPS_1_1_3_Patch_und_Aenderungsmanagement_Edition_2021.pdf?__blob=publicationFile&v=2, letzter Zugriff am 14. April 2021.

IBM (o. J.): „What is a zero-day-exploit?“, https://www.ibm.com/topics/zero-day, letzter Zugriff am 03. April 2024.

Kaspersky (o. J.): „Was ist ein Zero-Day-Angriff? – Definition und Erläuterung“, https://www.kaspersky.de/resource-center/definitions/zero-day-exploit, letzter Zugriff am 03. April 2024.

Möhring, Cornelia (2019): „Was ist ein Zero-Day-Exploit?“, heise online, 04. November 2019, https://www.heise.de/tipps-tricks/Was-ist-ein-Zero-Day-Exploit-4575035.html, letzter Zugriff am 03. April 2024. 

Tenable Network Security GmbH (2019): „Schwachstellen-Management“, Security-Insider, April 2019, https://www.security-insider.de/schwachstellen-management-d-41385/, letzter Zugriff am 14. April 2021.