Was ist Patch-Management?

In der Praxis geht es beim Patch-Management darum, die Cybersicherheit mit den betrieblichen Anforderungen des Unternehmens in Einklang zu bringen. Hacker können Schwachstellen in der IT-Umgebung eines Unternehmens ausnutzen, um Cyberangriffe zu starten und Malware zu verbreiten. Anbieter veröffentlichen Updates, sogenannte „Patches“, um diese Schwachstellen zu beheben. Der Patching-Prozess kann jedoch Arbeitsabläufe unterbrechen und Ausfallzeiten für das Unternehmen verursachen. Das Patch-Management zielt darauf ab, diese Ausfallzeiten zu minimieren, indem die Bereitstellung von Patches rationalisiert wird.

Das Patch-Management bietet einen zentralisierten Prozess für die Anwendung neuer Patches auf IT-Ressourcen. Diese Patches können die Sicherheit verbessern, die Leistung verbessern und die Produktivität steigern.

Sicherheits-Patches behandeln bestimmte Sicherheitsrisiken, häufig durch Behebung einer bestimmten Schwachstelle.

Hacker haben es oft auf Assets ohne Patches abgesehen. Wenn Sicherheitsupdates nicht angewendet werden, kann dies für ein Unternehmen zu Sicherheitsverletzungen führen. Zum Beispiel verbreitete sich die 2017 WannaCry-Ransomware über eine Sicherheitslücke in Microsoft Windows, für die ein Patch veröffentlicht wurde. Cyberkriminelle griffen Netzwerke an, in denen Administratoren es versäumt hatten, den Patch anzuwenden, und infizierten mehr als 200.000 Computer in 150 Ländern.

Einige Patches bieten neue Funktionen für Apps und Geräte. Diese Updates können die Asset-Leistung und die Benutzerproduktivität verbessern.

Fehlerbehebungen beheben kleinere Probleme in Hardware oder Software. Normalerweise führen diese Probleme nicht zu Sicherheitsproblemen, haben aber Auswirkungen auf die Anlagenleistung.

Die meisten Unternehmen finden es unpraktisch, jeden Patch für jeden Vermögenswert herunterzuladen und anzuwenden, sobald er verfügbar ist. Das liegt daran, dass das Patchen Ausfallzeiten erfordert. Benutzer müssen ihre Arbeit unterbrechen, sich abmelden und wichtige Systeme neu starten, um Patches anzuwenden.

Ein formaler Patch-Management-Prozess ermöglicht es Unternehmen, kritische Updates zu priorisieren. Das Unternehmen kann die Vorteile dieser Patches mit minimaler Unterbrechung der Arbeitsabläufe der Mitarbeiter nutzen.

Gemäß Vorschriften wie der Datenschutzgrundverordnung (DSGVO), dem Health Insurance Portability and Accountability Act (HIPAA) und dem Payment Card Industry Data Security Standard (PCI-DSS) müssen Unternehmen bestimmte Cybersicherheitspraktiken befolgen. Patch-Management kann Unternehmen dabei helfen, kritische Systeme mit diesen Vorschriften konform zu halten.

Die meisten Unternehmen behandeln Patch-Management als kontinuierlichen Lebenszyklus. Das liegt daran, dass die Anbieter regelmäßig neue Patches veröffentlichen. Darüber hinaus können sich die Patching-Anforderungen eines Unternehmens ändern, wenn sich seine IT-Umgebung ändert.

Um die Best Practices für das Patch-Management darzulegen, die Administratoren und Endbenutzer während des gesamten Lebenszyklus befolgen sollten, entwerfen Unternehmen formelle Patch-Management-Richtlinien.

Der Patch-Management-Lebenszyklus umfasst folgende Phasen:

Um die IT-Ressourcen im Blick zu behalten, erstellen IT- und Sicherheitsteams Bestände an Netzwerkressourcen wie Anwendungen von Drittanbietern, Betriebssystemen, mobilen Geräten sowie standortferne und lokale Endgeräte.

IT-Teams können auch festlegen, welche Hardware- und Softwareversionen Mitarbeiter verwenden können. Diese Asset-Standardisierung kann dazu beitragen, den Patching-Prozess zu vereinfachen, indem sie die Anzahl der verschiedenen Asset-Typen im Netzwerk reduziert. Die Standardisierung kann außerdem verhindern, dass Mitarbeiter unsichere, veraltete oder inkompatible Apps und Geräte verwenden.

Sobald die IT- und Sicherheitsteams über einen vollständigen Asset-Bestand verfügen, können sie nach verfügbaren Patches Ausschau halten, den Patch-Status von Assets verfolgen und Assets identifizieren, bei denen Patches fehlen.

Einige Patches sind wichtiger als andere, insbesondere wenn es um Sicherheitspatches geht. Laut Gartnerwurden im Jahr 2021 19.093 neue Schwachstellen gemeldet, von denen Cyberkriminelle jedoch nur 1.554 in freier Wildbahn ausnutzten.

IT- und Sicherheitsteams nutzen Ressourcen wie Threat Intelligence Feeds, um die kritischsten Schwachstellen in ihren Systemen zu ermitteln. Patches für diese Schwachstellen werden gegenüber weniger wichtigen Updates priorisiert.

Die Priorisierung ist eine der wichtigsten Möglichkeiten, mit denen Patch-Management-Richtlinien darauf abzielen, Ausfallzeiten zu reduzieren. Durch die Einführung wichtiger Patches können IT- und Sicherheitsteams das Netzwerk schützen und gleichzeitig die Zeit, die Ressourcen offline für Patches aufwenden, verkürzen.

Neue Patches können gelegentlich Probleme verursachen, Integrationen unterbrechen oder die Schwachstellen, die sie beheben sollen, nicht beheben. In Ausnahmefällen können Hacker sogar Patches kapern. Beispielsweise nutzten Cyberkriminelle einen Fehler in der VSA-Plattform von Kaseya, um unter dem Deckmantel eines rechtmäßigen Software-Updates Ransomware an Kunden weiterzugeben.

Durch das Testen von Patches vor der Installation wollen IT- und Sicherheitsteams diese Probleme erkennen und beheben, bevor sie sich auf das gesamte Netzwerk auswirken.

„Patch-Bereitstellung“ bezieht sich sowohl darauf, wann als auch wie Patches bereitgestellt werden.

Patching-Fenster werden in der Regel für Zeiten festgelegt, in denen nur wenige oder gar keine Mitarbeiter arbeiten. Die Patch-Releases der Anbieter können sich auch auf die Patch-Zeitpläne auswirken. Beispielsweise veröffentlicht Microsoft Patches in der Regel dienstags, ein Tag, der von einigen IT-Experten als „Patch-Dienstag“ bezeichnet wird.

IT- und Sicherheitsteams können Patches auf Stapel von Assets anwenden, anstatt sie gleichzeitig im gesamten Netzwerk bereitzustellen. Auf diese Weise können einige Mitarbeiter weiterarbeiten, während sich andere zum Patchen abmelden. Das Anwenden von Patches in Gruppen bietet außerdem eine letzte Chance, Probleme zu erkennen, bevor sie das gesamte Netzwerk erreichen.

Die Patchbereitstellung kann auch Pläne zur Überwachung von Assets nach dem Patchen und zum Rückgängigmachen aller Änderungen umfassen, die unerwartete Probleme verursachen.

Um die Patch-Compliance sicherzustellen, dokumentieren IT- und Sicherheitsteams den Patching-Prozess, einschließlich Testergebnisse, Bereitstellungsergebnisse und aller Assets, die noch gepatcht werden müssen. Diese Dokumentation hält das Asset-Inventar auf dem neuesten Stand und kann im Falle eines Audits die Einhaltung der Cybersicherheitsvorschriften nachweisen.

Da das Patch-Management ein komplexer Lebenszyklus ist, suchen Unternehmen häufig nach Möglichkeiten, das Patching zu optimieren. Einige Unternehmen lagern den Prozess vollständig an Managed Service Provider (MSPs) aus. Unternehmen, die das Patching intern durchführen, verwenden Patch-Management-Software, um einen Großteil des Prozesses zu automatisieren.

Die meisten Patch-Management-Software lassen sich in gängige Betriebssysteme wie Windows, Mac und Linux integrieren. Die Software überwacht Assets auf fehlende und verfügbare Patches. Wenn Patches verfügbar sind, können Patch-Management-Lösungen sie automatisch in Echtzeit oder nach einem festgelegten Zeitplan anwenden. Um Bandbreite zu sparen, laden viele Lösungen Patches auf einen zentralen Server herunter und verteilen sie dort an Netzwerk-Assets. Einige Patch-Management-Softwareprogramme können auch Tests, Dokumentationen und System-Rollbacks automatisieren, wenn ein Patch fehlschlägt.

Patch-Management-Tools können eigenständige Software sein, aber sie werden oft als Teil einer größeren Cybersicherheitslösung bereitgestellt. Viele Lösungen für Schwachstellenmanagement und Attack Surface Management bieten Patch-Management-Funktionen wie Inventarisierung und automatische Patch-Bereitstellung. Viele Endpoint Detection and Response (EDR) -Lösungen können auch automatisch Patches installieren. Einige Unternehmen verwenden Unified Endpoint Management (UEM)-Plattformen, um lokale und Remote-Geräte zu patchen.

Mit der automatisierten Patch-Verwaltung müssen Unternehmen nicht mehr jeden Patch manuell überwachen, genehmigen und anwenden. Dies kann die Anzahl kritischer Patches reduzieren, die nicht angewendet werden, weil Benutzer keinen geeigneten Zeitpunkt für die Installation finden.