Beim Patch-Management werden die vom Anbieter herausgegebenen Updates angewendet, um Sicherheitslücken zu schließen und die Leistung von Software und Geräten zu optimieren. Das Patch-Management wird manchmal als Teil des Schwachstellenmanagements betrachtet.

In der Praxis geht es beim Patch-Management darum, ein Gleichgewicht zwischen der Cybersicherheit und den betrieblichen Anforderungen des Unternehmens herzustellen. Hacker können Schwachstellen in der IT-Umgebung eines Unternehmens ausnutzen, um Cyberangriffe zu starten und Malware zu verbreiten. Die von den Anbietern herausgegebenen Updates, so genannte „Patches“, beheben diese Schwachstellen. Der Patching-Prozess kann jedoch Arbeitsabläufe unterbrechen und Ausfallzeiten für das Unternehmen verursachen. Das Patch-Management zielt darauf ab, diese Ausfallzeiten zu minimieren, indem die Bereitstellung von Patches rationalisiert wird. 

Das Patch-Management schafft einen zentralisierten Prozess für die Anwendung neuer Patches auf IT-Ressourcen. Diese Patches können die Sicherheit verbessern, die Leistung steigern und die Produktivität erhöhen.

Sicherheits-Updates

Sicherheits-Patches beheben spezifische Sicherheitsrisiken, oft durch Behebung einer bestimmten Schwachstelle.

Hacker haben es oft auf nicht gepatchte Assets abgesehen, so dass das Versäumnis, Sicherheits-Updates zu installieren, ein Unternehmen für Sicherheitsverletzungen anfällig machen kann. So verbreitete sich beispielsweise die Ransomware WannaCry 2017 über eine Sicherheitslücke in Microsoft Windows, für die ein Patch bereitgestellt worden war. Cyberkriminelle griffen Netzwerke an, deren Administratoren es versäumt hatten, das Patch anzuwenden, und infizierten mehr als 200.000 Computer in 150 Ländern. 

Feature-Updates

Einige Patches bringen neue Funktionen für Apps und Geräte. Diese Aktualisierungen können die Leistung der Assets und die Produktivität der Benutzer verbessern. 

Fehlerbehebungen

Fehlerbehebungen beseitigen kleinere Probleme in der Hardware oder Software. In der Regel verursachen diese Probleme keine Sicherheitsprobleme, beeinträchtigen aber die Leistung der Assets.

Minimierung der Ausfallzeiten

Die meisten Unternehmen finden es unpraktisch, jeden Patch für jedes Asset herunterzuladen und anzuwenden, sobald er verfügbar ist. Das liegt daran, dass das Patchen Ausfallzeiten erfordert. Benutzer müssen ihre Arbeit unterbrechen, sich abmelden und wichtige Systeme neu starten, um die Patches anzuwenden.

Ein formeller Patch-Managementprozess ermöglicht es Unternehmen, kritische Aktualisierungen zu priorisieren. Das Unternehmen kann die Vorteile dieser Patches bei minimaler Unterbrechung der Arbeitsabläufe der Mitarbeiter nutzen.

Einhaltung gesetzlicher Bestimmungen

Gemäß gesetzlichen Bestimmungen wie der Datenschutzgrundverordnung (DSGVO), des Health Insurance Portability and Accountability Act (HIPAA) (US-Gesetz zur Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen) und des Payment Card Industry Data Security Standard (PCI-DSS) (Datensicherheitsstandard der Zahlungskartenindustrie) müssen Unternehmen bestimmte Praktiken der Cybersicherheit einhalten. Das Patch-Management kann Unternehmen dabei helfen, ihre kritischen Systeme im Einklang mit diesen Vorschriften zu betreiben.

Die meisten Unternehmen betrachten das Patch-Management als einen kontinuierlichen Lebenszyklus. Das liegt daran, dass die Hersteller regelmäßig neue Patches veröffentlichen. Außerdem kann sich der Patching-Bedarf eines Unternehmens ändern, wenn sich die IT-Umgebung ändert.

Um die Best Practices für das Patch-Management festzulegen, die Administratoren und Endbenutzer während des gesamten Lebenszyklus befolgen sollten, erstellen Unternehmen formelle Richtlinien für das Patch-Management.

Zu den Phasen des Lebenszyklus des Patch-Managements gehören:

1. Asset-Management

Um die IT-Ressourcen zu überwachen, erstellen IT- und Sicherheitsteams Verzeichnisse von Netzwerkressourcen wie Anwendungen von Drittanbietern, Betriebssysteme, mobile Geräte sowie Remote- und lokale Endpunkte.

IT-Teams können auch vorgeben, welche Hardware- und Softwareversionen die Mitarbeiter verwenden dürfen. Diese Standardisierung von Assets kann dazu beitragen, den Patching-Prozess zu vereinfachen, indem die Anzahl der verschiedenen Asset-Typen im Netz reduziert wird. Die Standardisierung kann auch verhindern, dass Mitarbeiter unsichere, veraltete oder inkompatible Apps und Geräte verwenden.

2. Patch-Monitoring

Sobald IT- und Sicherheitsteams über ein vollständiges Bestandsverzeichnis verfügen, können sie sich nach verfügbaren Patches erkundigen, den Patch-Status von Anlagen verfolgen und Anlagen identifizieren, bei denen Patches fehlen.

3. Patch-Priorisierung

Einige Patches sind wichtiger als andere, insbesondere wenn es sich um Sicherheits-Patches handelt. Laut Gartner, wurden 119.093 neue Schwachstellen im Jahr 2021 gemeldet. Cyberkriminelle nutzten jedoch nur 1.554 dieser Schwachstellen in der Praxis aus. (Link befindet sich außerhalb von ibm.com). 

IT- und Sicherheitsteams nutzen Ressourcen wie Bedrohungsdaten-Feeds, um die kritischsten Schwachstellen in ihren Systemen zu ermitteln. Patches für diese Schwachstellen werden gegenüber weniger wichtigen Updates priorisiert.

Die Priorisierung ist eine der wichtigsten Methoden, mit denen das Patch-Management die Ausfallzeit verringern soll. Wenn kritische Patches zuerst bereitgestellt werden, können IT- und Sicherheitsteams das Netz schützen und gleichzeitig die Zeit verkürzen, in der die Ressourcen für das Patchen offline sind.

4. Patch-Tests

Neue Patches können gelegentlich Probleme verursachen, Integrationen unterbrechen oder die Schwachstellen, die sie beheben sollen, nicht beheben. In Extremfällen können Hacker sogar Patches entwenden. In 2021 nutzten Cyberkriminelle eine Schwachstelle in der VSA-Plattform  von Kaseya (Link befindet sich außerhalb von ibm.com), um Ransomeware unter dem Deckmantel eines legitimen Software-Updates an Kunden zu verteilen. 

Durch das Testen von Patches vor deren Installation wollen IT- und Sicherheitsteams diese Probleme erkennen und beheben, bevor sie sich auf das gesamte Netz auswirken.

5. Patch-Bereitstellung

„Patch-Bereitstellung“ bezieht sich sowohl auf den Zeitpunkt als auch auf die Art und Weise der Bereitstellung von Patches.

Patches für Windows werden in der Regel zu Zeiten durchgeführt, in denen nur wenige oder gar keine Mitarbeiter arbeiten. Auch die Bereitstellung von Patches durch die Anbieter kann die Zeitpläne für das Patching beeinflussen. Microsoft beispielsweise veröffentlicht Patches in der Regel dienstags. Dieser Tag ist bei einigen IT-Fachleuten als „Patch-Dienstag“ bekannt. 

IT- und Sicherheitsteams können Patches auf einzelne Anlagen anwenden, anstatt sie gleich auf das gesamte Netz zu verteilen. Auf diese Weise können einige Mitarbeiter ihre Arbeit fortsetzen, während andere sich wegen des Patching-Prozesses abmelden. Die gruppenweise Anwendung von Patches bietet außerdem eine letzte Chance, Probleme zu erkennen, bevor sie das gesamte Netz erreichen. 

Die Bereitstellung von Patches kann auch Pläne zur Überwachung der Assets nach dem Patching und zur Rückgängigmachung von Änderungen, die unerwartete Probleme verursachen, umfassen. 

6. Patch-Dokumentation

Um die Patch-Compliance zu gewährleisten, dokumentieren IT- und Sicherheitsteams den Patching-Prozess. Dazu gehören auch die Testergebnisse, die Ergebnisse der Bereitstellung und alle Assets, die noch gepatcht werden müssen. Diese Dokumentation hält die Bestandserfassung auf dem neuesten Stand und kann im Falle eines Audits die Einhaltung der Cybersicherheitsregelungen belegen.    

Da das Patch-Management ein komplexer Lebenszyklus ist, suchen Unternehmen häufig nach Möglichkeiten, das Patching zu optimieren. Manche Unternehmen lagern aus und beauftragen Managed Service Provider (MSP) mit dem gesamten Prozess. Unternehmen, die das Patching intern durchführen, verwenden Patch-Management-Software, um einen Großteil des Prozesses zu automatisieren.

Die meisten Patch-Management-Programme lassen sich in gebräuchliche Betriebssysteme wie Windows, Mac und Linux integrieren. Die Software überwacht Assets auf fehlende und verfügbare Patches. Wenn Patches verfügbar sind, können Patch-Management-Lösungen diese automatisch in Echtzeit oder nach einem festgelegten Zeitplan installieren. Um Bandbreite zu sparen, laden viele Lösungen Patches auf einen zentralen Server herunter. Von dort aus werden sie an die Netzressourcen verteilt. Einige Patch-Management-Software kann auch Tests, Dokumentation und die Wiederherstellung des Systems bei Fehlfunktionen eines Patches automatisieren.

Patch-Management-Tools können eigenständige Software sein. Sie werden aber oft als Teil einer größeren Cybersicherheitslösung bereitgestellt. Viele Lösungen für das Management von Schwachstellen und Angriffsflächen bieten Funktionen für das Patch-Management wie Asset-Listen und automatische Patch-Bereitstellung. Viele EDR-Lösungen (Endpoint Detection and Response/Endpunkterkennung und -Reaktion)  können auch automatisch Patches installieren. Einige Unternehmen verwenden zusammengeführte UEM-Plattformen (Unified Endpoint Management/Zusammengeführtes Endpunktmanagement), um Patches für lokale und Remote-Geräte bereitzustellen.

Mit automatisiertem Patch-Management müssen Unternehmen nicht mehr jeden Patch manuell überwachen, genehmigen und anwenden. Auf diese Weise kann die Zahl der kritischen Patches reduziert werden, die nicht installiert werden, weil die Benutzer keinen geeigneten Zeitpunkt finden, um sie zu installieren.