Dagegen wird es einem eventuell vorhandenen IT-Sicherheitsbeauftragten oder gar dem internen oder externen Audit kaum gefallen, wenn nicht umgehend ein sicherheitsrelevantes Patches auf den Anlagen aufgesetzt wird. Ich werde in diesem Beitrag nun einige Überlegungen anstellen, wie ein funktionales Patch-Management in einem Betrieb auszusehen hat oder sein sollte.
Weshalb sind Patchs von Bedeutung? Für den Administrator ist die Lösung offensichtlich und keine lohnende Aufgabe - Patchs eliminieren Probleme bei der Erstellung des Programmes oder des Betriebsystems. Manche dieser Bugs verursachen z.B. "nur" Serviceabbrüche. Im Grunde genommen alle Anlagen in Ihrem eigenen Netz.
Für diese Anlagen werden in regelmässigen Zeitabständen auch Updates publiziert, die sicherheitsrelevante Problemstellungen ausgleichen. Damit ein verwendetes Gerät beim Patchen nicht vernachlässigt wird, wird empfohlen, für jedes Gerät eine eigene Datenblätter zu verfassen, die die derzeit genutzten Versionen sowie einen Verweis auf die Seite des Herstellers enthalten. Darüber hinaus ist es ratsam, für jedes einzelne Programm zu bestimmen, in welchen Zeitabständen der Stand der Version Ihrer eigenen Programme und die verfügbaren Updates überprüft werden sollen.
Wenn möglich, sollte diese Überprüfung durch die Namenskürzung belegt werden, z.B. in einem Excel-Blatt oder auf einer Papier-Checkliste. Die Prüfintervalle sollten für jedes einzelne Erzeugnis 3 Monaten nicht überschreiten. Sicherheitsrelevante Geräte wie z. B. Firewall -Systeme sollten täglich einer Überprüfung durchlaufen werden. Durch Betriebssysteme wie die von Microsoft können Sie sich an die Intervalle der sogenannten "Patchdays" gewöhnen.
Nicht zu vernachlässigen ist auch das Prüfen von Patchs. Es hat sich in der Praxis bewährt, dass einige Patchs nicht nur einen aufgetretenen Bug behoben, sondern auch zu Fehlern geführt haben. Sie sollten diese Feststellung jedoch nicht als Vorwand nehmen, um ein Patchen zu vermeiden. Bevor Sie also mit der Aktualisierung aller Ihrer Server und Client-Programme beginnen, sollten Sie zunächst einige wenige Tests unter den realistischsten Umständen in Ihrer Testerumgebung durchlaufen.
Die praktische Erfahrung hat auch ergeben, dass es Sinn macht, Ihre Anlagen in Patch-Gruppen einzuteilen und z.B. nur 50% der Anlagen an den ersten beiden Patch-Tagen und die folgenden 50% an den folgenden Tagen zu patchen (wenn keine aufgetretenen Störungen vorliegen). Aber auch hier ist die Dokumentierung von großer Wichtigkeit und nimmt in Zeiträumen von BASEL II und SOX immer mehr an Wichtigkeit zu.