22. April 2014 - Strategien in der Datensicherheit

Virtual Patching: Wenn es keine Fehlerbehebung gibt

Eine zentrale Sicherheitsempfehlung lautet, alle IT-Systeme regelmäßig mit Fehlerbehebungen, also Patches zu versehen. Gibt es aktuell keine Patches, kann das Virtual Patching helfen. Ein Allheilmittel ist es aber nicht.

Thinkstock/MADDRAT Virtual Patching behebt die Schwachstelle im System nicht, schirmt sie aber vor möglichen Angriffen ab. (Bild: Thinkstock / MADDRAT)

Patching: immer gefordert, doch nicht immer möglich

Wahrscheinlich haben Sie schon mehrfach in Ihrer Datenschutz-Mitarbeiterschulung empfohlen, Betriebssysteme, Browser und Anwendungsprogramme regelmäßig zu aktualisieren. Gemeint ist damit nicht, immer sofort die neueste Version einer Software zu installieren, sondern vielmehr die Fehlerbehebungen, auch Patches genannt, zu installieren.

Da Softwareentwicklung (wie jede andere Tätigkeit auch) fehleranfällig ist, werden immer wieder Sicherheitslücken bekannt, die durch das sogenannte Patching geschlossen werden sollen. Doch Patching ist nicht immer möglich.

Gründe, warum kein Patching stattfindet

Es sind nicht nur Gründe wie das Supportende für ein Betriebssystem und das entsprechende Fehlen von Patches, warum Patching nicht durchgeführt wird. Gerade in Branchen wie der Industrie ist es bisher nicht immer möglich, zeitnah Fehlerbehebungen einzuspielen.

Teilweise dauert die Bereitstellung der Patches auch sehr lange, das Einspielen ist kompliziert oder die Fehlerbehebung erscheint zu teuer, was gerade bei Individualsoftware ohne entsprechenden Wartungsvertrag der Fall sein könnte.

Es gibt also viele Gründe, warum Schwachstellen länger offen bleiben, obwohl Sie und andere Datenschutz- oder IT-Sicherheitsbeauftragte auf die regelmäßige Aktualisierung und das Patching mehr als einmal hinweisen.

Die Idee des virtuellen Patching

All die Gründe, warum es kein Patching gibt, ändern nichts daran, dass gefährliche Sicherheitslücken bestehen bleiben. Da kommen Lösungen, die ein sogenanntes Virtual Patching anbieten, gerade recht. Tatsächlich kann eine solche Lösung hilfreich sein, wenn keine Patches eingespielt werden können.

Die Idee hinter Virtual Patching ist, dass die Schwachstelle nicht geflickt, aber dafür gegen bösartige Zugriffe abgeschirmt wird. Bei Webanwendungen, für die es keine Patches gibt, kommt in der Regel für das virtuelle Patchen eine Web Application Firewall (WAF) zum Einsatz, mit der genau geregelt werden kann, wer wie auf die zu schützende Applikation zugreifen kann.

Virtual Patching: Hilfreich, aber kein völliger Ersatz

Wie eine Umfrage von Forrester Research ergab, halten 75 Prozent der IT-Entscheider virtuelles Patching für sinnvoll, denn es können Wochen vergehen, bis ein richtiger Patch entwickelt wurde, während die Regeln der Web Application Firewall (WAF) in kurzer Zeit so angepasst sein können, dass die Schwachstelle abgeschirmt wird.

Da könnte man auf die Idee kommen, das oftmals als lästig empfundene Patching ganz durch Virtual Patching abzulösen. Das ist jedoch nicht zu empfehlen: Grundsätzlich besteht die Gefahr, dass nicht alle betroffenen Systeme durch die WAF abgeschirmt werden. Zudem sollte klar sein, dass Virtual Patching eigentlich eine Notfallmaßnahme ist, um die Zeit bis zum Patching zu überbrücken. Die Sicherheitslücke und der mögliche Fehler in der Anwendung werden nicht wirklich behoben, nur der Missbrauch soll verhindert werden.

Prüfen Sie am besten mit der Checkliste, ob in Ihrem Unternehmen das richtige Verständnis von Virtual Patching herrscht.


Download:


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker, IT-Fachjournalist und IT-Analyst

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln