Angriffe auf Software-Schwachstellen zählen zu den größten Cyber-Gefahren, doch viele Unternehmen tun sich schwer, die Lecks zügig und zuverlässig abzudichten.

Immerhin 38 Prozent der Unternehmen halten ausgenutzte Software-Schwachstellen für eine der größten Bedrohungen ihrer Endpoint Security. Teilweise investieren sie mehr als 60 US-Dollar pro Jahr und Gerät in den Schutz der Systeme, dennoch benötigen 43 Prozent mindestens eine Woche, um selbst die allerkritischsten Patches auszurollen.

„Eigentlich schreit beim Patch-Management alles nach Vereinfachung und Automatisierung“, betont Jeannine Balsiger, Sales Director Major Accounts bei Adaptiva. „Allerdings bieten die traditionellen Lösungen solche Möglichkeiten nicht, da sie noch aus der Zeit vor Cloud und Remote Work stammen. Moderne Lösungen hingegen erlauben eine Automatisierung nicht nur einzelner Aufgaben, sondern des gesamten Patch-Prozesses von Ende zu Ende, und das ohne komplizierte Skriptsprachen und Programmierung. Damit entlasten sie Security-Teams erheblich und erhöhen auch das Sicherheitsniveau im Unternehmen, da Schwachstellen schneller und zuverlässiger beseitigt werden.“

Adaptiva, Anbieter von Endpunkt-Management- und Sicherheitslösungen, führt sechs Gründe an, warum gerade die wichtige Aktualisierung der Windows-Anwendungen von Drittanbietern so herausfordernd ist:

1. Überlastete Security-Teams:​

Aufgrund der Vielzahl an Drittanbieter-Anwendungen, die heute in den meisten Unternehmen zum Einsatz kommen, ist das Patchen eine wahre Sisyphusarbeit. Die Aktualisierungen treffen schneller ein, als Security-Teams sie testen und verteilen können. Manchmal stecken die Mitarbeiter noch mitten im Rollout-Prozess, wenn schon der nächste Patch für eine Software veröffentlicht wird.

Mit mehr Personal lässt sich das Problem angesichts des Fachkräftemangels und begrenzter Budgets kaum lösen. Also müssen Security-Teams priorisieren, welche Patches sie ausrollen. In der Regel entscheidet man sich für die, die besonders kritisch sind oder viele Systeme im Unternehmen betreffen. Das lässt dann allerdings Lücken für Cyberkriminelle, die natürlich auch weniger kritische Schwachstellen und weniger verbreitete Anwendungen attackieren.

2. Mehr Remote Work:​

Durch die zunehmende Heimarbeit sind die Endgeräte der Mitarbeiter über unzählige Standorte verstreut und haben häufig gar keine Verbindung zum Unternehmensnetz mehr. Diese Geräte vermögen viele Security-Teams nicht zu erreichen – gleiches gilt für private Geräte, die Mitarbeiter für berufliche Dinge nutzen, selbst wenn sie das eigentlich nicht sollen. Unsichtbar und ungeschützt sind die Systeme ein leichtes Ziel für Angreifer, denn letzten Endes können Security-Teams nur Rechner aktualisieren, die sie auch sehen und ansprechen können. Dazu kommt, dass auch die Sicherheitsspezialisten verteilt arbeiten, was die Zusammenarbeit beim Patch-Management erschwert.

3. Schlechte Abstimmung:​

In einigen Unternehmen kümmern sich verschiedene Abteilungen um Software-Schwachstellen und die Verteilung der Patches. Während das Schwachstellen-Management eine typische Aufgabe des Security-Teams ist, übernimmt die Aktualisierung der Systeme beispielsweise das Desktop-Team, das IT-Operations-Team oder das IT-Service-Management-Team. Dadurch entsteht zusätzlicher Abstimmungsaufwand, der eine effiziente Kommunikation verhindern und für Verzögerungen im Patch-Prozess sorgen kann.

4. Zeitraubende Prozesse:​

Sind Patches für kritische Schwachstellen verfügbar, muss es schnell gehen, doch oft bremsen komplexe oder nicht mehr zeitgemäße Prozesse den Rollout der Aktualisierungen aus. Die Security-Teams müssen sich erst mit anderen Teams koordinieren und verschiedene Freigaben einholen, weil die Abläufe und Richtlinien veraltet sind und aus einer Zeit stammen, in der zum Beispiel noch die IT-Abteilung für IT-Security zuständig war. Heute ist sie das nicht mehr und eigenständige Security-Teams könnten die Patches ohne Zustimmung aus der IT verteilen, dürfen das aber nicht. Die notwendigen Change-Prozesse hat aber nie jemand angestoßen, sodass wichtige Patches viel langsamer als notwendig ausgerollt werden.

5. Aufwändiges Testen:​

Nicht jeder Patch ist perfekt. Manchmal bringen die Aktualisierungen neue Fehler mit, verursachen Kompatibilitätsprobleme oder sind – wie im Falle des Solarwinds-Hacks – von Cyberkriminellen kompromittiert worden. Deshalb wollen Security-Teams neue Patches zumeist nicht einfach einspielen, auch wenn das am schnellsten ginge, sondern zunächst testen. Das bedeutet, dass sie jeden Patch auf verschiedenen Testsystemen installieren, die aktualisierten Anwendungen ausprobieren und einen Report erstellen müssen. All das kostet wertvolle Zeit.

6. Manuelle Tätigkeiten:​

Patchen ist nach wie vor eine der arbeitsaufwändigsten Aufgaben im IT- und Security-Bereich, weil die meisten Prozessschritte manuelle Tätigkeiten erfordern. Die Mitarbeiter müssen Patches häufig selbst herunterladen, priorisieren, testen und schrittweise an die betroffenen Systeme verteilen, ohne dass smarte Tools ihnen diese Arbeit abnehmen. Bei tausenden Endgeräten, mehreren Dutzend Anwendungen, unterschiedlichen Versionsständen und in schneller Folge von Herstellern veröffentlichten Patches gelangen die Teams schnell an ihre Grenzen und müssen einzelne Patches auslassen oder auf Tests verzichten. 

(Titelbild: Adaptiva)