24. März 2011 - Einzeltest Secunia CSI

Patch-Management: Beheben Sie Schwachstellen auf Knopfdruck!

Sicherheitslücken gibt es nicht nur bei Betriebssystemen wie Windows, sondern bei fast jeder Software. Doch während Microsoft eine automatische Installation von Tools zur Fehlerbehebung anbietet, sind Auto-Updates bei vielen Anbietern Mangelware. Für Abhilfe kann eine Schwachstellen- und Patch-Management-Lösung wie Secunia CSI sorgen.

patch-management-beheben-sie-schwachstellen-auf-knopfdruck.jpeg
Patch-Management: Eindrucksvoll sind die Hinweise auf Angriffe, die durch entdeckte Schwachstellen möglich sind (Bild: O. Schonschek)

Programmfehler machen Software oftmals zu einem leichten Angriffsziel für Hacker und Datendiebe. Deshalb sind regelmäßiges Aktualisieren (Updaten) und Installieren von Tools zur Fehlerbehebung (Patchen) Pflicht.

Aufwendiges Updaten ist in der Praxis kaum machbar

Die britische Initiative „Get Safe Online“ verweist für das Betriebssystem Windows und für die Microsoft-Office-Produkte auf die komfortable Windows-Update-Funktion. Für alle anderen Produkte wird empfohlen, die jeweiligen Updates auf den Herstellerseiten herunterzuladen.

Das ist zwar im Prinzip richtig, doch in der Praxis kaum umsetzbar.

So betreffen durchschnittlich 65 Prozent aller Schwachstellen Software-Anwendungen, die sich nicht über die Windows-Update-Funktion beheben lassen. Vielmehr sind mindestens 13 verschiedene Update-Verfahren zusätzlich erforderlich, so die Erfahrung des Sicherheitsanbieters Secunia.

75 x 22 Updates jährlich

Im Durchschnitt müsste ein Computernutzer sogar 22 verschiedene Updatemechanismen etwa 75-mal im Jahr verwenden, um alle Schwachstellen zu beheben. Den damit verbundenen Aufwand können viele Unternehmen jedoch nicht leisten.

Viele Programme laufen ohne Patches

Wie der „2011 Vulnerability Management Trends Research Report“ von eEye Digital Security zeigt, werden bei 60 Prozent der befragten Unternehmen mindestens 25 Prozent aller Anwendungen nicht regelmäßig aktualisiert. Datendiebe müssen sich also nicht beeilen, um eine Schwachstelle auszunutzen, sie haben viel Zeit für ihre Attacken.

50 Prozent der Unternehmen sind ungeschützt

Um dieses Risiko zu minimieren, halten 70 Prozent der Unternehmen ein Schwachstellen- und Patch-Management für wichtig. Doch nur jedes zweite Unternehmen hat eine entsprechende Lösung im Einsatz, so das Ergebnis der „State of Endpoint Risk“-Untersuchung des Ponemon Instituts.

Gegensteuern mit Patch-Management

Um die Datensicherheit zu erhöhen, sollte Ihr Unternehmen besser nicht zu den 50 Prozent gehören, die keine Software zur automatischen Schwachstellensuche und -behebung einsetzen. Mögliche Lösungen sind z.B.

Wir haben uns beispielhaft die Lösung CSI von Secunia näher angesehen.

Schritt für Schritt zum optimalen Patch-Management
  1. IT-Assets inventarisieren (Computer, Betriebssysteme, Anwendungen)
  2. Auto-Update-Funktionen nutzen, wo immer möglich
  3. Quellen für Patches von Systemen ohne Auto-Update-Funktion zusammenstellen
  4. Schwachstellen-Warnungen abonnieren, bei Herstellern und unter www.bsi.de
  5. notwendige Patches priorisieren entsprechend der Einstufung der Risiken durch Hersteller oder BSI
  6. Patch-Einspielung testen
  7. Patches auf alle betroffenen Systeme verteilen
  8. Erfolg prüfen durch Abgleich des neuen Patch-Stands mit den Angaben des Anbieters
  9. Schritte 1 bis 8 als regelmäßigen Prozess implementieren
  10. Alternativ: umfassende Schwachstellen- und Patch-Management-Lösung einsetzen

Das Beispiel Secunia CSI

Die Lösung Secunia CSI prüft die Aktualität und damit den Patch-Stand mehrerer Tausend Applikationen für Windows-Systeme. Der Anwender erhält Berichte zum Patch-Stand der untersuchten Computer und Programme im Netzwerk.

Patches per Knopfdruck aufspielen

Er kann in Verbindung mit den Diensten Microsoft Windows Server Update Services (WSUS) und Microsoft System Center Configuration Manager (SCCM) auf Knopfdruck die fehlenden Patches installieren.

Automatischer Patch-Download

Dazu werden die Patches bei den Softwareherstellern automatisch heruntergeladen und zu einem Paket zusammengestellt. Über das Netzwerk lässt es sich auf den betroffenen Computern installieren. Im Prinzip erweitert die Lösung also die Funktion von Windows Update auf Drittanbieter.

Patch-Management ist kein Ersatz für einen Viren-Scan!

Wenn Ihr Unternehmen eine Lösung wie Secunia CSI verwenden möchte, sollten Sie darauf aufmerksam machen, dass ein solcher Schwachstellen-Scanner nicht mit einem Viren-Scanner verwechselt werden darf.

Secunia CSI prüft nicht, ob bestimmte Programme mit Viren infiziert sind. Vielmehr analysiert es den in den Metadaten der Programme – genauer den exe- und dll-Dateien – enthaltenen Patch-Stand und vergleicht ihn mit den täglich aktualisierten Patch-Datenbanken von Secunia.

Secunia liefert einen Überblick über alle Softwareinstallationen

Die Schwachstellensuche kann on demand oder nach einem definierten Zeitplan erfolgen. Secunia CSI liefert als Ergebnis eine Inventarliste für die Softwarelösungen auf den untersuchten Computersystemen. Das gilt für einen einzelnen PC oder für mehrere Systeme im Netzwerk. Zu jeder gefundenen Software liefert Secunia die Version, den Patch-Stand und eine Einstufung zum Sicherheitsstatus.

Risikohinweise zum Patch-Management und Gegenmaßnahmen

Ist eine Softwareinstallation veraltet, erhält der Anwender zudem Hinweise zu den Risiken, die mit der Schwachstelle verbunden sind, und zu den möglichen Gegenmaßnahmen.

Administratoren und Manager erhalten Berichte per E-Mail

Die Ergebnisse der Schwachstellen-Suche sind nicht nur im sogenannten Dash-board der zentralen CSI-Installation im Netzwerk zu sehen. Berichte, darunter auch spezielle Reports für die Administratoren und für das Management, lassen sich automatisch und regelmäßig über E-Mail als PDF-Dateien verschicken.

Nützliche grafische Aufbereitung

Besonders hervorzuheben sind die anschaulichen Diagramme zu den möglichen Auswirkungen der gefundenen Schwachstellen. Sie zeigen sehr deutlich, wie sich die vorhandenen Fehler durch Datendiebe ausnutzen lassen.

Die Verbindung ist SSL-verschlüsselt

Man würde dem Datenschutz jedoch einen Bärendienst erweisen, wenn die aufgespürten Fehler unverschlüsselt zum Abgleich mit der Patch-Datenbank von Secunia über das Internet übertragen würden. Secunia sichert die Verbindung über SSL (256 Bit).

Der Patch-Management-Anbieter garantiert den Schutz der personenbezogenen Daten

Zudem garantiert Secunia in der Datenschutzerklärung, dass von der Übertragung der Patch-Stände und Softwareversionen für die Aktualitätsprüfung keine personenbezogenen Daten und keine individuellen Konfigurationsinformationen betroffen sind. Auch werden die Passwörter für den Zugang zu CSI verschlüsselt gespeichert und müssen mindestens acht Stellen aufweisen.

Machen Sie das Patch-Management zum Thema!

Welche Lösung Sie für ein Schwachstellen- und Patch-Management auch einsetzen – wecken Sie das Bewusstsein für die Notwendigkeit einer umfassenden Fehlerbehebung! Denn Windows Updates und Anti-Viren-Updates reichen als Schutz vor Datendiebstahl in der Praxis nicht aus.

Update 06.09.2011:
Secunia hat Ende August die neue Version seiner Sicherheits-Software CSI herausgebracht mit zahlreichen Verbesserungen. Mehr Informationen finden Sie unter http://secunia.com

 

Oliver Schonschek
Oliver Schonschek, Dipl.-Phys., ist freier IT-Fachjournalist. Zudem ist er regelmäßig als Autor, Herausgeber und Mitherausgeber mehrerer WEKA-Werke tätig.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln