Gesundheitsvorsorge für Endpoints
Von Sascha Stock
Software-Schwachstellen auf Endpoints zählen zu den bevorzugten Angriffszielen von Cyberkriminellen. Regelmäßiges Patchen ist daher Pflicht – fällt Unternehmen angesichts unzähliger Rechner an Remote-Standorten und wachsender Anwendungslandschaften aber schwer. Unterstützung bieten Tools, die Sichtbarkeit über alle Geräte hinweg herstellen und aufwendige Patch-Prozesse automatisieren.
Nicht nur viele Angestellte, sondern auch Cyberkriminelle lieben das Homeoffice, weil die Rechner der Mitarbeiter dort häufig ein leichtes Angriffsziel sind. Außerhalb des Firmennetzwerks werden sie nicht durch leistungsstarke Firewalls und andere Security-Systeme geschützt und noch dazu in vielen Fällen nur unregelmäßig aktualisiert. Dadurch sind die Geräte höchst verwundbar.
Eigentlich zählt das regelmäßige Patchen von Software-Schwachstellen auf Endpoints zu den wichtigsten Aufgaben von IT-Abteilungen oder Security-Teams. Es ist eine Art der Gesundheitsvorsorge, die verhindert, dass Cyberkriminelle die Systeme kompromittieren und als Einstiegspunkt ins Netzwerk nutzen. Allerdings erreichen Administratoren die Geräte an Remote-Standorten oft schlecht oder gar nicht – insbesondere, wenn die Mitarbeiter überwiegend mit Cloud-Services arbeiten und keine VPN-Verbindung zum Unternehmensnetz aufbauen. Letztlich können Administratoren nämlich nur Endpoints verwalten und schützen, die sie auch sehen.
Moderne Tools für Endpoint und Patch Management stellen deshalb Sichtbarkeit mithilfe von Peer-to-Peer-Infrastrukturen und Cloud-Relays her. Die engmaschige Verknüpfung der Rechner in einem P2P-Netz sorgt dafür, dass keine Systeme durchs Raster fallen und sich einer Aktualisierung entziehen. Die Komponenten in der Cloud wiederum garantieren einen sicheren Verbindungsaufbau zu den Management-Servern, selbst wenn die Rechner nicht via VPN ins Firmennetzwerk eingebunden sind.
Darüber hinaus bieten P2P-Infrastrukturen noch einen weiteren Vorteil: Sie entlasten WAN-Verbindungen, die in der neuen Arbeitswelt schnell zum Flaschenhals werden, wenn IT-Abteilungen tausende Update-Pakete für die Endpoints von Remote Workern über sie ausrollen. In der Praxis verzögern die Bandbreitenengpässe oft die Patch-Bereitstellung oder sorgen für Verbindungsabbrüche – manchmal wissen Administratoren schlicht nicht, ob oder welche Rechner die Sicherheitsaktualisierungen schon erfolgreich heruntergeladen und installiert haben.
Sind die Endpoints via P2P verbunden, reicht es, wenn wenige Systeme sich die Patches initial von zentralen Servern holen. Die WAN-Belastung bleibt dadurch gering. Anschließend verteilen die Endpoints die Update-Pakete zuverlässig untereinander. Dabei nutzen sie lediglich nicht benötigte Rechner-Ressourcen, um die Mitarbeiter nicht im Arbeitsalltag zu behindern. Netter Nebeneffekt: Unternehmen kommen künftig mit einer viel kleineren Zahl von Update-Servern als bisher aus, was für erhebliche Kosteneinsparungen sorgt.
Automatisierung ermöglicht schnelles und individuelles Patchen
Neben der Sichtbarkeit der Endpoints ist die enorme Patch-Flut, mit der sich IT-Abteilungen heute konfrontiert sehen, die zweite große Herausforderung bei der Aktualisierung der Systeme. Das liegt vor allem daran, dass die Anwendungslandschaften in den vergangenen Jahren deutlich gewachsen sind. Unternehmen haben nicht nur neue Kommunikations- und Kollaborationstools eingeführt, sondern auch unzählige kleine und große Spezialanwendungen für die verschiedenen Fachbereiche. Oft kommen unternehmensweit mehr als einhundert verschiedene Software-Applikationen zum Einsatz, die allesamt auf dem neuesten Stand gehalten werden müssen.
Im Prinzip sind IT-Abteilungen durchgängig damit beschäftigt, die Verfügbarkeit von Patches zu prüfen und die Aktualisierungen anschließend herunterzuladen, zu priorisieren, zu testen und zu verteilen. Manchmal ist die Test- oder Rollout-Phase noch gar nicht abgeschlossen, wenn bereits der nächste Patch für eine Anwendung eintrifft. Das Problem: Der gesamte Patch-Prozess ist unglaublich zeitraubend, weil er viele manuelle Tätigkeiten umfasst und der Arbeitsaufwand mit der Zahl der Patches steigt. Nicht selten sind IT-Abteilungen deshalb gezwungen, auf ausführliche Tests zu verzichten oder einzelne Patches auszulassen – dennoch kommen sie kaum hinterher: 43 Prozent brauchen selbst bei kritischen Updates mindestens eine Woche für den Rollout. Aus Security-Sicht ist das fatal, nutzen Cyberkriminelle doch Schwachstellen aus, sobald sie bekannt werden, und schon eine einzige ungepatchte Sicherheitslücke genügt, um ein ganzes Unternehmen zu gefährden.
“Um IT-Abteilungen zu entlasten und Patches schneller einzuspielen, führt kein Weg an einer weitgehenden Automatisierung des Patch-Prozesses vorbei.”
Um IT-Abteilungen zu entlasten und Patches schneller einzuspielen, führt kein Weg an einer weitgehenden Automatisierung des Patch-Prozesses vorbei. Die Basis dafür schaffen Metadaten-Streams, die detaillierte Informationen zu verfügbaren Patches enthalten und das Anlegen von Regeln für Tests und Rollouts ermöglichen. Allerdings sind die Fähigkeiten der verschiedenen Tools für die Patch-Automatisierung höchst unterschiedlich – einige automatisieren lediglich Teilprozesse, andere bieten wenig Flexibilität, was Testszenarien und Rollout-Strategien angeht, und wieder andere setzen Skriptsprachen- und Programmierkenntnisse voraus.
Ideal sind daher Lösungen, die den gesamten Patch-Prozess abdecken, von der Integration des Metadaten-Streams bis hin zur Rückmeldung über die erfolgreiche Installation der Patches auf allen betroffenen Systemen. Und die das einfache Anlegen individueller Workflows auf grafischen Oberflächen mittels vordefinierter oder selbst erstellter Bausteine erlauben. Auf diese Weise können IT-Abteilungen je nach Schweregrad des Lecks oder der Art der Anwendung einen angepassten Ablauf anstoßen, der den Patch auf geeigneten Testsystemen installiert, Freigaben einholt und das Update abgestuft nach Abteilungen, Regionen oder Benutzergruppen ausrollt. Kritische Patches lassen sich priorisiert verteilen, etwa mit reduziertem Testumfang, kürzeren Wartezeiten auf Freigaben und weniger Rollout-Phasen, sodass alle Endpoints sie so schnell wie möglich erhalten. Unkritische Patches können hingegen gesammelt und in feste Wartungsfenster außerhalb der Hauptgeschäftszeiten verschoben werden.
Der Rollout in mehreren Phasen erlaubt es, optimale Zeitfenster für unterschiedliche Unternehmensbereiche zu finden und die Patch-Verteilung rechtzeitig zu stoppen, sollten bei einigen Anwendern unerwartete Probleme auftreten.
Standardisierte Patch-Prozesse und mehr Zeit für IT-Teams
Natürlich dauert es eine Weile, bis IT-Abteilungen für sämtliche Szenarien einen passenden Workflow angelegt haben, doch der initiale Aufwand lohnt, weil er auf lange Sicht viel Zeit spart – bei jedem einzelnen Patch. Die für Unternehmen geschäftskritische Sicherheitsaktualisierung von Anwendungen hängt somit nicht mehr davon ab, ob Administratoren gerade Zeit haben, sondern läuft umgehend automatisch an, sobald ein Patch veröffentlicht wird. Menschliche Eingriffe sind nur noch in den seltensten Fällen notwendig.
Ein solches autonomes Patch-Management verbessert die Gesundheit von Endpoints deutlich und reduziert damit Sicherheitsrisiken für Unternehmen. Zugleich entlastet es IT-Abteilungen, sodass diese mehr Zeit für wichtige Digitalisierungsprojekte und andere IT-Aufgaben haben.
This content is licensed under a Creative Commons Attribution-NoDerivatives 4.0 International license.
