Die Lehre aus der Microsoft-Sicherheitslücke: Update- und Patch-Management

Update- und Patch-Management kling erst einmal nicht so spannend. Es ist aber enorm wichtig. Denn: Keine Software ist hundertprozentig sicher. Das haben die Sicherheitslücken bei Microsoft wieder einmal gezeigt. Hier gibt es mittlerweile übrigens aktualisierte und wichtige Patches. Insgesamt kann man da aber leider nichts machen – außer achtsam und vor allem vorbereitet sein!

Wenn – wie in diesem Fall – Out-of-Band-Updates eingespielt werden müssen, zählt jede Sekunde. Ohne Update ist das System weiterhin angreifbar. Doch auch im Normalbetrieb ist es wichtig, dass Ihre Systeme immer aktuell sind. Dafür müssen die Prozesse bei Ihnen allerdings wie am Schnürchen laufen.

Welche Lehre ziehen wir nun aus der Sicherheitslücke bei Microsoft? Nichts geht über ein funktionierendes Update- und Patch-Management! Wir zeigen Ihnen, worauf Sie achten sollten. 

Gerade in größeren Institutionen ist es eine Herkulesaufgabe, alle IT-Komponenten stets aktuell zu halten. Wird diese Aufgabe allerdings vernachlässigt, drohen ernsthafte Konsequenzen.

Microsoft ist das beste Beispiel: Ohne ein funktionierendes Update- und Patch-Management können ernsthafte Sicherheitslücken entstehen. Die Gefahr: Sie können von außen ausgenutzt werden. Mit derartigen Hintertürchen haben Hacker*innen leichtes Spiel. Die möglichen Folgen: Ihre Systeme werden lahmgelegt, Sie verlieren Ihre Daten, Sie erleiden finanziellen Verlust und obendrein leidet das Image Ihres Unternehmens. 

Diese Risiken kann ein geeignetes Update- und Patch-Management inklusive Konzept stark verringern. Das Ziel: Alle Änderungen an Anwendungen, Infrastruktur, Dokumentationen, Prozessen und Verfahren sollen steuer- und kontrollierbar werden. 

Bevor Sie ein detailliertes Konzept zum Update- und Patch-Management erstellen können, sollten Sie erst einmal Inventur machen. Dazu scannen und inventarisieren Sie alle Server, Geräte, Netzwerkkomponenten, Anwendungen und Dienste sowie vor allem auch mobile Geräte, Cloud-Dienste und – soweit vorhanden – IoT-Geräte.

Diese Inventur sollten Sie mindestens regelmäßig, am besten aber fortlaufend durchführen. Teil der Inventur ist auch der Sicherheitszustand der IT-Umgebung. Dazu gehört, ob die Firm- und Software aktuell ist – also das Patchlevel – oder ob eine Schwachstelle vorliegt.

Auf Ihrer Inventur aufbauend können Sie sich nun an Ihr Konzept machen. 

Wer ist für was zuständig? Die Beantwortung dieser Frage bildet das Kernstück Ihres Konzepts. Wenn Sie die Verantwortlichkeiten für alle Organisationsbereiche geklärt haben, wissen alle Beteiligten, was sie zu tun haben. Das steigert die Effizienz. Außerdem wissen alle anderen Mitarbeitenden, an wen sie sich in welchem Fall wenden müssen.

Die Zuständigkeiten sollten sich zusätzlich in Ihrem Berechtigungskonzept wiederfinden.   

Alle Prozesse Ihres Update- und Patch-Managements sollten detailliert festgelegt sein, damit es in der Anwendung nicht zu Verunsicherung und Inkonsistenz kommt. Dabei regeln Sie alle Prozesse rund um Planung, Genehmigung, Durchführung, Dokumentation und Kontrolle. Wichtig: Testen Sie die Prozesse im Vorfeld. So können Sie Fehler ausmerzen und merken nicht erst im Notfall, was nicht funktioniert.

Ein Detail, das Sie in Ihrem Update- und Patch-Management nicht vergessen sollten ist die Priorisierung. Legen Sie Kriterien zur Einschätzung von Änderungen fest. So verhindern Sie, dass unwichtige Updates zuerst eingespielt werden, während an anderer Stelle eine wichtige Sicherheitslücke besteht. Außerdem werden so fehlerhafte Einschätzungen Ihrer Software zum Patchmanagement schneller erkannt. 

Auch Wiederherstellungsoptionen sind ein wichtiges Detail für Ihr Management. Definieren Sie Prozesse für die Erstellung von Backups und Snapshots und vor allem: Prüfen Sie im Vorfeld, ob diese Prozesse funktionieren. Sollte beim Patchen mal etwas schiefgehen, kann es sonst schwierig sein, Daten wiederherzustellen und Änderungen rückgängig zu machen.

Gleiches gilt für integrierte Update-Mechanismen, die Autoupdates durchführen. Wie soll mit derartigen Mechanismen umgegangen werden? Welche Absicherungen und Konfigurationen sind erforderlich? Überprüfen Sie auch neue Komponenten auf Update-Mechanismen. 

Mit Ihrer Dokumentation können Sie nachvollziehen, was Sie wann angepasst haben und welche Auswirkungen es hatte. Wenn später Fehler auftreten, ist es wichtig zu wissen, was gemacht wurde. Außerdem bildet Ihre Doku eine gute Basis für künftige Entscheidungen und Einschätzungen.

Sind die Mitarbeitenden Ihrer Institution nicht an Bord, funktioniert auch Ihr Update- und Patch-Management nicht. Die Folge: Sie sind ineffizient, Sicherheitslücken können entstehen und Sie schießen an Ihren Zielen vorbei. Laut Umfragen scheitern in fast der Hälfte der Unternehmen IT-Sicherheitsstrategien aufgrund mangelnder Awareness.

Daher: Sensibilisieren Sie Ihre Mitarbeitenden zu dem Thema IT-Sicherheit – angefangen mit dem Management. Auf Basis Ihrer Risikobewertung und Schwachstellen-Priorisierung können Sie die wichtigsten Schulungsthemen für Ihr Unternehmen anbieten. Das Stichwort ist hier vorausschauendes Schwachstellenmanagement. Schulungen zu erwarteten Bedrohungen reduzieren das Schadensrisiko.

Machen Sie außerdem klar, warum ein Update- und Patch-Management so wichtig ist. Stellen Sie die entsprechenden Dokumente allen zur Verfügung und erklären Sie, wie Prozesse funktionieren. Auch das Einüben und Testen von Prozessen kann für Sicherheit und mehr Akzeptanz führen.  

Bevor Sie Änderungen einspielen, sollten Sie diese immer auf Auswirkungen, Kategorie und Priorität hin überprüfen. Dabei sollten Sie die Prozesse Ihrer Institution und die Fachaufgaben nicht außenvorlassen. Sonst kann es schnell zu einer Beeinträchtigung kommen. Auch wichtig: Die zuständigen Fachabteilungen sollten informiert werden und sich untereinander abstimmen. Das reduziert das Risiko für Fehleinschätzungen.

Damit beim Patchen und Updaten nichts schief geht, benötigen Sie die für Ihr Unternehmen erforderlichen Ressourcen. Das sind neben Zeit und Geld vor allem personelle Ressourcen – also das entsprechende Know-how. Wie gut Sie tatsächlich aufgestellt sind, zeigt sich vor allem in Notfallsituationen und unter Zeitdruck.

Damit es hier nicht zu Problemen kommt, sollten Sie sich bereits im Vorfeld um die nötigen Kapazitäten für Test- und Verteilungsumgebungen kümmern sowie ausreichend Personal einstellen. Dies ist auch für die Kommunikation zwischen der IT und den einzelnen Fachbereichen essentiell.  

Nur wenn Sie wissen, welche möglichen Sicherheitslücken es gibt, können Sie Ihre IT-Systeme schützen. Informieren Sie sich daher regelmäßig über Schwachstellen bei Firmware, Betriebssystemen und eingesetzten Anwendungen und Diensten.

Gute Sicherheitswarnungen erhalten Sie u.a. hier: 

• BSI: https://www.bsi.bund.de/DE/Home/home_node.html
• CERT Bund: https://www.cert bund.de/overview/AdvisoryShort
• Heise: https://www.heise.de/security/
• Twitter: https://twitter.com/bsi_bund?lang=de
• Hersteller der eingesetzte Hard- und Software 

Wenn Sie eine Sicherheitslücke entdecken, für die noch kein Update zur Verfügung steht, müssen Sie andere geeignete Maßnahmen zum Schutz des IT-Systems treffen. Was hier zu tun ist, hängt davon ab, wie schwerwiegend die Schwachstelle und die Bedrohungen sind.

Nutzen Sie das Momentum durch die Sicherheitslücke bei Microsoft und stellen Sie sich sicher auf. Ein Teil Ihrer Strategie sollte ein geeignetes Update- und Patch-Management sein. So sind Sie optimal auf mögliche Sicherheitslücken vorbereitet. Wir unterstützen Sie gerne! 

Bundesamt für Sicherheit in der Informationstechnik (2021): „OPS.1.1.3: Patch- und Änderungsmanagement“, Februar 2021, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium_Einzel_PDFs_2021/04_OPS_Betrieb/OPS_1_1_3_Patch_und_Aenderungsmanagement_Edition_2021.pdf?__blob=publicationFile&v=2, letzter Zugriff am 14. April 2021.

Tenable Network Security GmbH (2019): „Schwachstellen-Management“, Security-Insider, April 2019, https://www.security-insider.de/schwachstellen-management-d-41385/, letzter Zugriff am 14. April 2021.