Zur rechten Zeit am rechten Ort. Diese Redewendung kennen wir alle. Dieser Satz hat in vielen Bereichen unseres Lebens eine wichtige Bedeutung. Damit wird auch ausgedrückt, dass für viele Dinge eine zeitliche Planung besser ist, als unbedacht drauf loszubrausen und möglichst schnell eine Sache hinter sich zu bringen.
Das gilt in besonderem Maße auch für bestimmte IT-Maßnahmen, insbesondere für die von IT-Administratoren so herzlich geliebten System-Updates und das Einspielen von kritischen Sicherheitspatches. Und davon gibt es regelmäßig eine ganze Menge.
Früher war alles besser
Meine eigene IT-Administratoren-Vergangenheit spielte sich tatsächlich in einer Zeit ab, in der Updates und Patches ein eher seltenes Vergnügen waren. Damals wurden für unsere Novell-Server noch Disketten direkt vom Hersteller bzw. Distributor angefordert. Und bei der AS/400 von IBM wurden überhaupt Updates auf Magnetbändern geliefert. Mit dabei ein mehrseitiges Dokument, in welcher Reihenfolge man diese majestätische Maschine vorbereitet und das Update sorgfältig einspielen musste. Majestätisch deswegen, weil so eine AS/400 auch schnell mal rumzicken konnte, wenn man sie vor dem Update nicht brav streichelte.
Auch Windows wurde damals nicht nahezu täglich mit Updates und Patches überschwemmt. Woher sollten die auch kommen? Mitte der Neunziger Jahre spielte das Internet bei den meisten Unternehmen noch kaum eine Rolle. Viren verbreiteten sich noch ordnungsgemäß über die Boot-Sektoren von Disketten und von Sicherheitslücken war in einem „Windows 3.11 for Workgroups“ kaum die Rede. Auch Windows NT 3.51 oder NT 4.0 telefonierte zwecks Updates noch nicht nach Hause. Konnten sie ja auch anfangs gar nicht, denn das IP-Protokoll war in den meisten Betriebssystemen noch gar nicht etabliert. IPX/SPX war damals das Protokoll der Stunde und das konnte mit dem Internet nun mal nichts anfangen.
Heute ist alles besser?
So sehr man sich die eine oder andere Anekdote aus der Vergangenheit auch in sein Gedächtnis ruft, im Vergleich zu Heute war die IT-Administration eine meist gemächliche Sache. Allerdings waren auch aufgrund der damaligen Anforderungen Sicherheitslücken nicht an der Tagesordnung. Hacker kannten wir nur aus Romanen oder Filmen, in denen sich oft Jugendliche via Modem in einen Server einwählten.
In einer modernen IT-Umgebung tummeln sich heute unzählige Server und andere Geräte. Oft werden Virtualisierungen eingesetzt und im Gegensatz zu früher betreiben Unternehmen eigene SQL- und andere Datenbank-Server, Mail-Server, FTP-Server, DHCP-Server, Backup-Server und eine ganze Phalanx an Security-Peripherie. Und jedes einzelne System, jedes einzelne Gerät möchte am liebsten nahezu wöchentlich gepatcht werden.
Gut Ding braucht Weile
Eine allzu hektische Reaktion in Bezug auf Patches und Updates haben sich IT-Administratoren schon lange abgewöhnt. „Never change a running System“ hat sich seit jeher in den Köpfen der alten Garde der IT-Chefs manifestiert. Leider haben sich die Zeiten in den letzten Jahren rapide geändert.
Die IT hat sich mittlerweile sogar grundlegend gewandelt. Das Internet und insbesondere die „Cloud“ sind heute alltägliche Begleiter und ermöglichen uns Dinge, von denen nicht mal Captain Kirk auf der Enterprise geträumt hat. Der kann auch im 23. Jahrhundert nicht von zu Hause arbeiten.
Mit den tollen Features und ständig sich erweiternden Möglichkeiten geht aber eben auch eine andere moderne Eigenheit Hand in Hand den Weg durch die IT: Sicherheitslücken. Wohin man auch sieht gibt es Sicherheitslücken. Manche so klein wie ein Nadelöhr, andere so groß wie ein Scheunentor.
Die Spürhunde
Weltweit gibt es unzählige Firmen, die sich auf das Aufspüren von Sicherheitslecks in Programmen und Betriebssystemen spezialisiert haben. Sie kennen sicher die Meldungen wie „Forscher konnten eine Sicherheitslücke in Programm XY entdecken“. Ja, genau das machen diese Unternehmen. In der Regel wird nach der Entdeckung einer Sicherheitslücke eine Beschreibung an den Hersteller übermittelt. Im Idealfall wird die Lücke vom Hersteller anerkannt, ein Patch bereitgestellt und dem Unternehmen eine Prämie ausbezahlt.
Läuft halt nicht immer so
Dass sich der ideale Zustand nicht immer aufrecht hält, hat die Welt gerade erst zu Beginn dieses Jahres (2021) gemerkt. Ein bekannter großer Hersteller eines bekannten und weitverbreiteten Mail-Servers hatte für sehr große Probleme gesorgt, weil Patches erst sehr spät bereitgestellt wurden. So spät, dass das mittlerweile bekannte Security-Leck bereits aktiv und in großem Maße ausgenutzt wurde. Allein in Deutschland waren zu dem Zeitpunkt über 100.000 Mail-Server betroffen.
Wie kommt es dazu?
Neben den Herstellern, die selbst auf verschiedene Weisen (Foren, integrierte Berichterstattung von Betriebssystemen und Programmen) nach Problemen und Lücken suchen, sind auch „Forscher“, also spezialisierte Unternehmen den Sicherheitslücken auf der Spur. Und die wollen natürlich für Ihre Arbeit Geld sehen. Daher wird in der Branche ein Druck auf die Hersteller ausgeübt. Nach der Übermittlung der Fehler in den Programmen gibt es eine Frist für die Hersteller, die bis dahin mit einem Patch reagieren müssen. Passiert dies nicht, werden die Sicherheitslücken und die Beschreibung der Ausnutzung veröffentlicht. So geschehen Anfang des Jahres bei Microsoft und seinem Exchange Server.
Es trifft so ziemlich alle Hersteller
Jetzt zu meinen, es liege nur an einem Hersteller, wäre der falsche Weg. Denn manche Lücken tun sich erst mit der Zeit auf. Zum Beispiel, wenn neue Technologien oder Verfahren genutzt werden, die vorher nicht in Frage gekommen oder nicht verfügbar waren. Und dann treffen Sie alle möglichen Geräte- und Softwarehersteller aus allen Bereichen. Mal ist es ein Switch, mal eine Bildbearbeitungssoftware, mal ein Browser, mal ein Server – die Liste ist nahezu unendlich.
Was kann man dagegen tun?
Grundsätzlich muss eine gute IT-Truppe in der Lage sein, sich ständig umfassend über die aktuelle Lage der Bedrohungen zu informieren. Das geschieht entweder direkt auf den Support-Seiten der Hersteller, in Foren, in Online-Magazinen oder durch abonnierte Newsletter.
Gibt ein Hersteller eine direkte Warnung mit dem Hinweis, die Sicherheitspatches ehestmöglich einzuspielen, heraus, dann sollte man keine unnötige Zeit mehr verlieren und dies auch tun.
Eine weitere, im heutigen IT-Umfeld äußerst wichtige Einrichtung ist die vollumfängliche Dokumentation aller Systeme inklusive einer stets aktuellen Inventarisierung. Mit entsprechenden professionellen Lösungen werden nicht nur alle Systeme erfasst, sondern auch mit den entsprechenden Patch-Ständen ausgelesen und dokumentiert. So ist ein Abgleich mit den erforderlichen Sicherheitsmaßnahmen ungleich einfacher, effizienter und vor allem deutlich sicherer. Auch lassen sich so die Ergebnisse der Backups einfach und schnell auf fehlerhafte Sicherungen überprüfen.
Angst vor dem Einspielen eines Patches oder Updates
Würde man jetzt behaupten, einen Patch einzuspielen oder ein Update zu installieren, wäre kein Problem, der hat sich noch nicht ausreichend mit modernen Programmen, Betriebssystemen, Datenbanken und deren Abhängigkeiten untereinander auseinandergesetzt.
Unbedingte Voraussetzung, um ein Risiko möglichst gering zu halten, ist eine ordentliche, komplette und korrekt durchgeführte Sicherung VOR DEM UPDATE bzw. Patch. Ist das Kind in den Brunnen gefallen und keine rettende Sicherung vorhanden, wird es unter Umständen kritisch für das ganze Unternehmen. Von den finanziellen Schäden braucht man hier gar nicht mehr anfangen zu schreiben.
Unserer Erfahrung nach ist nämlich die Vernachlässigung über Wochen und Monate oder länger oft ein Grund, warum wichtige Updates schief gehen und Server sich nach der Installation der Patches nicht mehr richtig starten lassen.
Auf der anderen Seite muss man aber auch Verständnis dafür haben, dass nicht jeder Patch gerade bei Produktivsystemen sofort eingespielt wird. Zu oft sind durch die Bank auch fehlerkorrigierende Patches selbst mit neuen Lücken oder Fehlern behaftet.
Unser Tipp
Nutzen Sie die Möglichkeiten einer professionellen Dokumentations- und Inventarisierungssoftware wie zum Beispiel Docusnap, mit der Sie sofort auf den aktuellen Stand aller IT-Systeme und Endgeräte in Ihrem Netzwerk zugreifen können.
Überprüfen Sie regelmäßig über die bekannten und oben genannten Kanäle, ob sicherheitsrelevante oder gar kritische Updates vorhanden sind.
Nehmen Sie die Installation von kritischen Updates unverzüglich vor und planen Sie sicherheitsrelevante Patches kurzfristig ein. Ist die eigene IT-Abteilung dazu nicht in der Lage, weil zu klein oder zu wenig spezialisiert, fordern Sie Unterstützung von einem professionellen Dienstleister wie zum Beispiel itelio an.
Keinesfalls das Problem aussitzen. Das kann nicht nur finanzielle Schäden hervorrufen, sondern auch ganz schnell in eine rechtliche Verfehlung im Bereich der DSGVO oder gar bis ins Strafrechtliche abdriften. Derjenige, der die Updates auf die lange Bank schiebt oder gar verneint, hält im Endeffekt den Kopf hin.
Im Zweifelsfall kontaktieren Sie unseren Support, der Ihnen bei der Planung und Installation gerne behilflich ist.