Risiko Freeware

Handlungsbedarf beim Patch Management

31.03.2016
Von 
Christoph A. Harvey schreibt als Experte für IT-Infrastrukturen über die Themen Asset-, Lizenzmanagement und Softwareverteilung in Anwenderunternehmen sowie bei Cloud Service Providern/Hostern. Er beschäftigt sich seit 25 Jahren mit dem Einsatz von IT-Lösungen in Unternehmen. Herr Harvey ist Geschäftsführer der mosaic IT-GmbH. Dort verantwortet er maßgeblich die Strategien für die Weiterentwicklung des gesamten Lösungsportfolios.
Unter den Top 10 der "unsichersten" Anwendungen stiegen die Schwachstellen von 2014 auf 2015 um 83 Prozent an. Darunter Freeware wie Google Chrome und Mozilla Firefox. Abhilfe schafft eine durchdachte Patchpolitik.
  • Während Unternehmen wissen, dass sie ein kontrolliertes Lizenzmanagement brauchen, lassen sie vielfach an wirksamen Kontrollen für Freeware-Programme vermissen.
  • Aktuelle Versions- und Update-Stände auf Rechnern und mobilen Endgeräten lassen sich nur durch ein automatisiertes Release- und Patch Management gewährleisten.
  • Idealerweise kombinieren Unternehmen das Patch Management mit einer automatisierten Software-Verteilung.

Auch für Anwendungen wie Flash Player, Safari oder Adobe Reader wurden laut Mitre Corporationim Jahr 2015 jeweils mehr als 100 dokumentierte Sicherheitslücken gemeldet. Die Unternehmens-IT ist durch die Nutzung derartiger Freeware stark gefährdet und sollte umgehend handeln. Doch das Verhalten hinkt dem Bewusstsein hinterher. Dies gilt für große Unternehmen ebenso wie für den Mittelstand. Denn in punkto IT-Sicherheit hakt es in Betrieben vor allem am Patch Management. Während Firewall, Verschlüsselungstechniken, Antivirus-Software und Datensicherung wichtige Bausteine jeder IT-Sicherheitsstrategie sind, wird dem Patch Management zu wenig Bedeutung beigemessen.

Entscheidend für ein sicheres Unternehmen ist ein gutes Patch Management.
Entscheidend für ein sicheres Unternehmen ist ein gutes Patch Management.
Foto: Ljiljana Jankovic - www.shutterstock.com

Dies bestätigt der Bericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI), veröffentlicht im November 2015. Darin wird die Gefährdungslage in Deutschland für viele IT-Bereiche als hoch eingestuft. Und: Das BSI benennt ein mangelhaftes Patch Management als Hauptursache vieler Angriffe.

Security-Lecks durch Kontrollen schließen

Viele Unternehmen machen Hackern das Eindringen in die Unternehmens-IT allzu leicht. Auf ihren Rechnern tummelt sich Software mit veralteten Release-Ständen oder aktuelle Software, die jedoch nicht laufend mit den neuesten Sicherheits-Patches aktualisiert wird.

Weitverbreitete, kostenfreie Anwendungen wie der Adobe Flash Player und Browser wie Google Chrome oder Mozilla Firefox sind nachweislich häufig von kritischen Schwachstellen betroffen. So hat das BSI erst wieder Anfang März allen Anwendern dringend geraten, ihren Browser zu aktualisieren. Denn Hacker könnten eine Sicherheitslücke im Firefox 44 ausnutzen, um Datenverkehr aus unsicheren Quellen zuzulassen und dann beliebige Befehle auszuführen. Aber auch der Microsoft Internet Explorer ist in Schwachstellen-Vergleichen ganz vorne mit dabei. Während in den Unternehmen das Bewusstsein für die Notwendigkeit eines kontrollierten Lizenzmanagements vorhanden ist, fehlt es vielfach an wirksamen Kontrollen für Freeware-Programme.

Unterstützung bietet hier die Schwachstellenampel von CERT-Bund. Sie gibt laufend Auskunft über kritische Sicherheitslecks von Software und bietet in den meisten Fällen direkte Links zum Download der notwendigen Patches an. Doch welcher IT-Administrator kann bei der Vielzahl an Geräten und Installationen den Überblick behalten, was wo installiert ist? Wie soll er eine tägliche, manuelle Prüfung auf gemeldete Schwachstellen vornehmen und diese dann umgehend beheben?

Die Schwachstellenampel des BUND-CERT informiert live über kritische Schwachstellen in beliebter Software.
Die Schwachstellenampel des BUND-CERT informiert live über kritische Schwachstellen in beliebter Software.

Automatisierung schafft Sicherheit

Aktuelle Versions- und Update-Stände auf Rechnern und mobilen Endgeräten lassen sich nur durch ein automatisiertes Release- und Patch Management gewährleisten, das die Systemüberprüfung auf Schwachstellen und deren Behebung gleichermaßen abdeckt.

Eine regelmäßige Systemüberprüfung hilft darüber hinaus, weitere potenzielle Sicherheitsrisiken wie nicht-autorisierte Software und End-of-Life-Programme aufzuspüren und bei Bedarf gleich zu entfernen. Notwendig beispielsweise für alle älteren Versionen des Microsoft Internet Explorers. Denn Microsoft verkündete erst kürzlich, dass nur noch die neueste für ein unterstütztes Betriebssystem verfügbare Version des Internet Explorers technischen Support und Sicherheitsupdates erhält. Damit werden Sicherheitslücken älterer Versionen nicht mehr durch Updates beseitigt - eine Einladung für Viren und Trojaner.

Idealerweise kombinieren Unternehmen das Patch Management mit einer automatisierten Software-Verteilung. Hierbei wird nach routinemäßigen Systemüberprüfungen fertig paketierte Software bei Verfügbarkeit einer neuen Version, etwa von Adobe Reader oder Flash, ohne manuellen Eingriff verteilt. Das sorgt dafür, dass Software auf allen Geräten stets auf dem neuesten Stand ist und Angreifern keine Sicherheitslücken geöffnet werden. Die IT stellt damit einen unternehmensweit einheitlichen Versionsstand sicher.

Risikofaktor Mensch

Durch die mangelnde Risiko-Sensibilisierung von Mitarbeitern entsteht ein weiteres Security-Leck. Denn Freeware wird in aller Regel nicht von der IT, sondern vom Mitarbeiter selbst installiert. Laut einer Analyse der Techconsult haben drei Viertel der Unternehmen im Bereich Mitarbeiter-Sensibilisierung Umsetzungsprobleme. Häufig fehlt es einfach am Bewusstsein dafür, welche Risiken aus der Installation nicht autorisierter oder nicht lizenzierter Software entstehen können. So belegt eine 2015 veröffentlichte Studie der Business Software Alliance (BSA), dass Unternehmen allein durch das Löschen unlizenzierter Software den Schutz vor Cyber-Angriffen deutlich steigern können. Umso wichtiger ist die Möglichkeit, unerlaubte Software nicht nur zu erkennen, sondern durch intelligente Routinen direkt zu deinstallieren.

Sicher vor Hackern – trotz Freeware

Freeware ist zweifellos eine Herausforderung für jedes Unternehmen. Denn die Anzahl der verfügbaren Anwendungen für die unterschiedlichsten Bereiche liegt deutlich über der von lizenzpflichtiger Software. Darüber hinaus sind die Update-Zyklen kürzer und Support durch einen Hersteller ist im Krisenfall nicht gewährleistet. Erschwerend kommt hinzu, dass viele Anwendungen nicht auf dem Radar der IT erscheinen. Doch mit entsprechenden Prozessen, Handlungsanweisungen und Tools können Unternehmen diese Herausforderung meistern und ihre IT vor Hackerangriffen und Cyberattacken wirkungsvoll schützen. (sh)