IT Security
Patchen hält das Personal auf Trab

IT-ManagementIT-ProjekteNetzwerk-ManagementNetzwerkeSicherheitSicherheitsmanagement

Nach einer neueren Untersuchung nimmt das Aufspielen von Patches fast 10
Prozent des Arbeitsaufwands einer EDV-Abteilung in Anspruch, bei manchen
Firmen sogar mehr. Trotzdem liegen bei den wenigsten Unternehmen
konkrete Richtlinien für das Installieren von Patches vor.

IT Security

Nach einer neueren Untersuchung nimmt das Aufspielen von Patches fast 10
Prozent des Arbeitsaufwands einer EDV-Abteilung in Anspruch, bei manchen
Firmen sogar mehr. Trotzdem liegen bei den wenigsten Firmen konkrete
Richtlinien für das Installieren von Patches vor.

Die Firma
Prevx, Experte für Sicherheitstechnologie, befragte 150 große
Unternehmen und kam zu dem Ergebnis, dass durchschnittlich 9 Prozent der
Arbeitszeit für das Installieren von Patches draufgehen. Rick Ray, Chief
Executive bei Prevx, meinte, “Der hohe Anteil hat uns total erschreckt.
Es braucht wohl deshalb so viel Zeit, weil die Leute es für kompliziert
halten.” Ein Drittel der Befragten hielt sogar das Patching für eine der
schwierigsten und zeitraubendsten Aufgaben des Sicherheits-Managements.

In manchen Organisationen war das Problem noch drastischer: Dort schluckte das
Patch-Management sogar ein Fünftel der Ressourcen. “Es ist durchaus
möglich, dass hier zugunsten des Patchens andere Sicherheitsaspekte
vernachlässigt werden”, glaubt Ray. Und trotz des hohen Zeit- und
Arbeitsaufwands für diese Aufgabe fühlten sich viele Firmen damit noch
nicht sicher. Nur ein Viertel bewertete das Installieren von Patches als
einen effektiven Ansatz zum Schließen von Sicherheitslücken, 9 von 10
gaben an, im Lauf des letzten Jahres Opfer eines erfolgreichen Angriffs
geworden zu sein. Sie nahmen an, dass höchstens ein Drittel dieser
Attacken mit einem verfügbaren Patch hätten verhindert werden können.

“Den Unternehmen ist klar, dass die Gefahr von Viren, die über E-Mail-Anhänge
eingeschleust werden, nicht durch einen Fix gebannt werden kann, anders
als bei Internet-Würmern oder Angriffen durch Hacker”, kommentiert Ray.
Um den Schutz zu verbessern, muss es bei den Firmen offizielle und
striktere Vorschriften für das Aufspielen von Patches geben, denken die
Leute von Prevx. Bei der Umfrage stellte sich heraus, dass es nur bei 27
Prozent der befragten Unternehmen allgemeine Reglements für das
Patch-Management bei sicherheitskritischen Systemen gab. 93 Prozent
räumten sogar ein, dass manche Maschinen aufgrund ihrer Entfernung oder
fehlender Unterstützung des Betriebssystems nicht gepatcht werden
konnten. Betriebe, die unternehmensglobale Vorschriften für das Patching
erlassen, sollten natürlich Arbeitsplätze an entfernten Standorten mit
abdecken und auch berücksichtigen, dass die Angriffe auf Clients immer
mehr zunehmen. Sie müssen auch einen Mittelweg finden zwischen
ausreichendem Testen und schnellem Aufspielen der Fixes zum Schutz der
Systeme. “Oder man muss eben akzeptieren, dass die Patches nur begrenzt
Sicherheit bieten können, und Alternativen finden”, kommentiert Ray. Es
wäre sicher eine gute Idee, wenn Firmen auch an Security-Appliances und
Intrusion Detection/Prevention-Systeme zur Blockade von Außenangriffen
denken würden. Diese erlauben einen Vorstoß gar nicht erst, egal ob mit
oder ohne Patch.