profile

Michael Mayer

Patch Management hört bei WSUS nicht auf

Published 11 days ago • 4 min read

Damit dein Patch-Management gut läuft, brauchst du nur eine Handvoll Dinge.

Ich habe schon bei vielen Kunden als Consultant gearbeitet und dabei festgestellt, dass viele die gleichen Probleme beim Patchen haben. Die Verantwortlichkeiten sind oft sehr breit gestreut – kaum ein Unternehmen geht es wirklich zentralisiert an.

Ich dachte, ich schreibe einfach eine Patch-Management Einkaufsliste. Vielleicht hilft sie dir ja, das Thema ganzheitlicher zu betrachten und nichts zu vergessen.

#1 Betriebssysteme

Okay, hier ist unser Elefant im Raum.

Windows Server und Clients werden in der Regel recht gut über WSUS, Configuration Manager (SCCM), Windows Update for Business, Intune oder 3rd-Party-Lösungen wie Ivanti abgedeckt.

Bei Linux-Servern und -Clients gibt es verschiedene Lösungen, wie Yum, Ansible und Puppet.

Aber ich glaube, darüber brauche ich dir nicht viel erzählen.

#2 Business Applications

Hier wird es schon interessanter, denn es ist oft unklar, wer für das Patchen jeder einzelnen Anwendung verantwortlich ist. Leider gibt es regelmäßige Updates nur bei größeren Software-Herstellern.

Beispiele dazu gibt es wie Sand am Meer. Nehmen wir mal die HR-Lösung. Die ist vielleicht schon zwei Major Versionen hinterher – der Fachbereich hat einfach keine Zeit. Und dann gibt's da noch die selbst gebastelte Zeiterfassungssoftware – die wurde vor sieben Jahren auf einem Tomcat installiert, und seitdem hat sie niemand mehr angerührt. Und was ist mit der kleiner Software-Schmiede um die Ecke? Die braucht drei Monate, um eine kritische Schwachstelle in der Steuer-Software zu schließen.

Wenn wir mal von Fahrlässigkeit absehen, dann hat es fast immer einen Grund, warum Anwendungen nicht automatisch oder regelmäßig gepatcht werden.

Ich versuche immer, für jeden Host im Netzwerk einen technischen und einen fachlichen Ansprechpartner festzulegen. Das erleichtert zumindest die Kommunikation für CISO und CIO – die ja schließlich keine Sicherheitslücken in ihrem Netzwerk haben möchten.

Die Fachbereiche sind auch oft nicht auf dem neuesten Stand, was Technik angeht. Sie wissen gar nicht, welche Möglichkeiten die IT hat. Erklär ihnen, warum du die Patches zeitnah installiert haben möchtest, und frag immer nach, ob es Showstopper gibt. Wenn ihr euch einig seid, klappt das Patching meistens ganz gut.

#3 Client Anwendungen

Nicht jedes Unternehmen hat einen umfassenden Software-Katalog, mit dem alle Anwendungen auf Clients verteilt und aktualisiert werden. Standard-Anwendungen wie Adobe Reader, Chrome und MS Office haben die meisten IT-Abteilungen im Repertoire. Es rutschen aber dann doch immer wieder viele kleine Tools durch, wie zum Beispiel 7-Zip, WinRAR, KeePass und Sysinternals.

Das Problem bei dieser Vielzahl an Software ist einerseits der Ressourcenmangel, weil man nicht jede einzelne EXE-Datei paketieren und verwalten kann. Andererseits müssen auch immer weniger Programme installiert werden – es gibt inzwischen sehr viele portable Apps. Sogar Microsoft Teams wird standardmäßig im "AppData" Ordner installiert.

Wer sich nicht die ganze Arbeit selbst machen möchte, sollte für die Standard-Anwendungen ein Software-Paketierungs-Abo buchen. Die gibt es teilweise schon sehr günstig, man bekommt auch immer zeitnah seine fertig paketierte Software und braucht sie nur mehr importieren.

Jede Non-Standard-Software sollte per Software-Inventarisierung gefunden werden. Wenn es für diese Programme einen geschäftlichen Nutzen gibt, kannst du den Anwender ruhig in die Patch-Verantwortung ziehen. Eine automatische E-Mail, die ihn zur Aktualisierung seiner Anwendung auffordert, hilft oft Wunder.

#4 Firmware

Das Thema UEFI- und Firmware-Updates ist ein wenig heikler. Wenn da was schiefläuft, dann gibt es eine Downtime und der Field Service muss ausrücken.

Solange es keine essenziellen Security- oder Bug-Fixes sind, muss der Patch-Zyklus auch nicht monatlich sein. Im Auge solltest du sie trotzdem behalten, am besten über Newsletter oder RSS-Feeds.

#5 Netzwerk Geräte

Dazu zähle ich alles, was fürs Netzwerk zuständig ist, also Hard- und Software. Zum Glück gibt es hier schon seit Jahren den positiven Trend, die Geräte durch Management-Dashboards zentral zu verwalten. Früher habe ich Switches und Firewalls noch regelmäßig über TFTP oder RS232 Kabel aktualisiert, aber das ist echt lange her.

Wenn du Standalone-Geräte oder eine Nischenlösung in geringer Stückzahl hast, solltest du beim Patchen auch auf diese Geräte nicht vergessen.

#6 Drucker & MFPs

Ich sag immer, dass Drucker die ungeliebten Stiefkinder der IT sind. Sie reagieren sehr sensibel auf Stress und reinigen den Toner immer exakt dann, wenn man es gerade richtig eilig hat. 🙄

Wenn du viele verschiedene Drucker-Hersteller im Einsatz hast, (wer nicht 😅) dann ist das für dich ein sehr heikler Punkt! Große Abteilungs-Drucker, kleine Arbeitsplatz-Drucker, Plotter, Farb-Drucker – die großen Geräte haben oft eine automatisierte Wartung durch den Hersteller oder Geräte-Partner und werden darüber teilweise auch gepatcht. Die kleinen Drucker hingegen nicht. Viele davon sind längst aus dem Hersteller-Support draußen und bekommen gar keine Sicherheits-Updates mehr.

MFPs und Drucker haben Zugangsdaten für das Active Directory um auf Netzlaufwerke zu scannen. Aber auch SNMP-Credentials, um den Toner-Status anzuzeigen. Wenn du sie nicht regelmäßig Updates versorgst, dann ist das wie eine offene Tür für Angreifer.

#7 Der Rest

IP-Cams, Zeiterfassungs-Terminals, VoIP-Telefone, Media-Screens …

Alles in deinem Netzwerk, was eine IP-Adresse oder einen DNS-Eintrag hat, muss einer Art Life-Cycle und somit auch dem Patch-Management unterliegen. Dein Asset-Management kann dir da helfen.

Fazit

Ich hoffe, die Liste hat dir weitergeholfen. Falls ich etwas vergessen habe, lass es mich gerne wissen.

Aber Stop, Halt! 🛑 Gibt es eigentlich keine zentrale Lösung, um für alle Geräte das Patch-Management in einem einzelnen Dashboard zu haben?

Doch, die gibt es! Sie heißt Vulnerability Management. Damit werden alle Hosts und Ports auf Schwachstellen und Patch-Stand gescannt und fehlende Updates aufgelistet. Das ist mein liebstes Tool. 😉

Patch-Management kann man sich nicht einfach kaufen, schon gar nicht wie Kuchen im Supermarkt, man muss es selbst MACHEN.

Michael Mayer, Modecenterstraße 22, Wien, Wien 1030
Abbestellen · Einstellungen

Michael Mayer

Hacker, Erklärbär, Unternehmer

MACH dir deine Security selbst. Jeden Samstagmorgen, teile ich anwendbare Tipps & Tricks, Strategien und Anekdoten aus der Welt der Cyber Security. Ganz ohne Fachchinesisch!

Read more from Michael Mayer

"Wir brauchen jetzt unbedingt einen Pentest." - Ähm, nein… braucht ihr nicht! Wir alle kennen die Momente, in denen jemand etwas sagt, was sich falsch anfühlt. Situationen wie die oben beschriebene, hatte ich schon etliche. Man "meint es ja schließlich nur gut". Es ist leider der gänzlich falsche Ansatz, dass man Anwendungen, Systeme oder Netzwerke baut und im Nachhinein versucht die Security nur oben draufzulegen. Cyber-Sicherheit ist wie Kuchenbacken – Sie muss im Rezept stehen! 🧁 Du kannst...

4 days ago • 3 min read

VPN-Anbieter erleben derzeit einen Boom. Sie werben damit, das Internet privat und sicher zu machen, ganz ohne Malware und Überwachung. Verschlüsselung, Anonymität, keine Logs, Malware-Schutz, weltweites Streaming – mit diesen Schlagworten sind VPN-Anbieter in den sozialen Medien allgegenwärtig. Ohne sich über den eigenen Schutz Gedanken gemacht zu haben, fühlt man sich sofort unsicher. Als hätte man etwas verpasst. Warum nutzen so viele Menschen einen VPN-Provider? Sicherheit beim E-Banking...

18 days ago • 6 min read

Eine Geschichte, so alt wie die Zeit selbst... Wenn ich das Zimmer meiner Jungs betrete, frage ich mich meistens, ob es hier einen nuklearen Anschlag gegeben hat. Die meisten Assets sind noch warm, vermutlich vom radioaktiven Zerfall. Bei dem Anblick wird mein Kern auch gleich ein wenig instabil. Mittlerweile steht mir dieselbe Enttäuschung ins Gesicht geschrieben, wenn man mich wieder mal zu einem neuen Active Directory Security Audit ruft. Die CIOs schauen mir in meine trüben Augen und...

25 days ago • 5 min read