profile

Michael Mayer

Patch Management hört bei WSUS nicht auf

Published 5 months ago • 4 min read

Damit dein Patch-Management gut läuft, brauchst du nur eine Handvoll Dinge.

Ich habe schon bei vielen Kunden als Consultant gearbeitet und dabei festgestellt, dass viele die gleichen Probleme beim Patchen haben. Die Verantwortlichkeiten sind oft sehr breit gestreut – kaum ein Unternehmen geht es wirklich zentralisiert an.

Ich dachte, ich schreibe einfach eine Patch-Management Einkaufsliste. Vielleicht hilft sie dir ja, das Thema ganzheitlicher zu betrachten und nichts zu vergessen.

#1 Betriebssysteme

Okay, hier ist unser Elefant im Raum.

Windows Server und Clients werden in der Regel recht gut über WSUS, Configuration Manager (SCCM), Windows Update for Business, Intune oder 3rd-Party-Lösungen wie Ivanti abgedeckt.

Bei Linux-Servern und -Clients gibt es verschiedene Lösungen, wie Yum, Ansible und Puppet.

Aber ich glaube, darüber brauche ich dir nicht viel erzählen.

#2 Business Applications

Hier wird es schon interessanter, denn es ist oft unklar, wer für das Patchen jeder einzelnen Anwendung verantwortlich ist. Leider gibt es regelmäßige Updates nur bei größeren Software-Herstellern.

Beispiele dazu gibt es wie Sand am Meer. Nehmen wir mal die HR-Lösung. Die ist vielleicht schon zwei Major Versionen hinterher – der Fachbereich hat einfach keine Zeit. Und dann gibt's da noch die selbst gebastelte Zeiterfassungssoftware – die wurde vor sieben Jahren auf einem Tomcat installiert, und seitdem hat sie niemand mehr angerührt. Und was ist mit der kleiner Software-Schmiede um die Ecke? Die braucht drei Monate, um eine kritische Schwachstelle in der Steuer-Software zu schließen.

Wenn wir mal von Fahrlässigkeit absehen, dann hat es fast immer einen Grund, warum Anwendungen nicht automatisch oder regelmäßig gepatcht werden.

Ich versuche immer, für jeden Host im Netzwerk einen technischen und einen fachlichen Ansprechpartner festzulegen. Das erleichtert zumindest die Kommunikation für CISO und CIO – die ja schließlich keine Sicherheitslücken in ihrem Netzwerk haben möchten.

Die Fachbereiche sind auch oft nicht auf dem neuesten Stand, was Technik angeht. Sie wissen gar nicht, welche Möglichkeiten die IT hat. Erklär ihnen, warum du die Patches zeitnah installiert haben möchtest, und frag immer nach, ob es Showstopper gibt. Wenn ihr euch einig seid, klappt das Patching meistens ganz gut.

#3 Client Anwendungen

Nicht jedes Unternehmen hat einen umfassenden Software-Katalog, mit dem alle Anwendungen auf Clients verteilt und aktualisiert werden. Standard-Anwendungen wie Adobe Reader, Chrome und MS Office haben die meisten IT-Abteilungen im Repertoire. Es rutschen aber dann doch immer wieder viele kleine Tools durch, wie zum Beispiel 7-Zip, WinRAR, KeePass und Sysinternals.

Das Problem bei dieser Vielzahl an Software ist einerseits der Ressourcenmangel, weil man nicht jede einzelne EXE-Datei paketieren und verwalten kann. Andererseits müssen auch immer weniger Programme installiert werden – es gibt inzwischen sehr viele portable Apps. Sogar Microsoft Teams wird standardmäßig im "AppData" Ordner installiert.

Wer sich nicht die ganze Arbeit selbst machen möchte, sollte für die Standard-Anwendungen ein Software-Paketierungs-Abo buchen. Die gibt es teilweise schon sehr günstig, man bekommt auch immer zeitnah seine fertig paketierte Software und braucht sie nur mehr importieren.

Jede Non-Standard-Software sollte per Software-Inventarisierung gefunden werden. Wenn es für diese Programme einen geschäftlichen Nutzen gibt, kannst du den Anwender ruhig in die Patch-Verantwortung ziehen. Eine automatische E-Mail, die ihn zur Aktualisierung seiner Anwendung auffordert, hilft oft Wunder.

#4 Firmware

Das Thema UEFI- und Firmware-Updates ist ein wenig heikler. Wenn da was schiefläuft, dann gibt es eine Downtime und der Field Service muss ausrücken.

Solange es keine essenziellen Security- oder Bug-Fixes sind, muss der Patch-Zyklus auch nicht monatlich sein. Im Auge solltest du sie trotzdem behalten, am besten über Newsletter oder RSS-Feeds.

#5 Netzwerk Geräte

Dazu zähle ich alles, was fürs Netzwerk zuständig ist, also Hard- und Software. Zum Glück gibt es hier schon seit Jahren den positiven Trend, die Geräte durch Management-Dashboards zentral zu verwalten. Früher habe ich Switches und Firewalls noch regelmäßig über TFTP oder RS232 Kabel aktualisiert, aber das ist echt lange her.

Wenn du Standalone-Geräte oder eine Nischenlösung in geringer Stückzahl hast, solltest du beim Patchen auch auf diese Geräte nicht vergessen.

#6 Drucker & MFPs

Ich sag immer, dass Drucker die ungeliebten Stiefkinder der IT sind. Sie reagieren sehr sensibel auf Stress und reinigen den Toner immer exakt dann, wenn man es gerade richtig eilig hat. 🙄

Wenn du viele verschiedene Drucker-Hersteller im Einsatz hast, (wer nicht 😅) dann ist das für dich ein sehr heikler Punkt! Große Abteilungs-Drucker, kleine Arbeitsplatz-Drucker, Plotter, Farb-Drucker – die großen Geräte haben oft eine automatisierte Wartung durch den Hersteller oder Geräte-Partner und werden darüber teilweise auch gepatcht. Die kleinen Drucker hingegen nicht. Viele davon sind längst aus dem Hersteller-Support draußen und bekommen gar keine Sicherheits-Updates mehr.

MFPs und Drucker haben Zugangsdaten für das Active Directory um auf Netzlaufwerke zu scannen. Aber auch SNMP-Credentials, um den Toner-Status anzuzeigen. Wenn du sie nicht regelmäßig Updates versorgst, dann ist das wie eine offene Tür für Angreifer.

#7 Der Rest

IP-Cams, Zeiterfassungs-Terminals, VoIP-Telefone, Media-Screens …

Alles in deinem Netzwerk, was eine IP-Adresse oder einen DNS-Eintrag hat, muss einer Art Life-Cycle und somit auch dem Patch-Management unterliegen. Dein Asset-Management kann dir da helfen.

Fazit

Ich hoffe, die Liste hat dir weitergeholfen. Falls ich etwas vergessen habe, lass es mich gerne wissen.

Aber Stop, Halt! 🛑 Gibt es eigentlich keine zentrale Lösung, um für alle Geräte das Patch-Management in einem einzelnen Dashboard zu haben?

Doch, die gibt es! Sie heißt Vulnerability Management. Damit werden alle Hosts und Ports auf Schwachstellen und Patch-Stand gescannt und fehlende Updates aufgelistet. Das ist mein liebstes Tool. 😉

Patch-Management kann man sich nicht einfach kaufen, schon gar nicht wie Kuchen im Supermarkt, man muss es selbst MACHEN.

Michael Mayer, Modecenterstraße 22, Wien, 1030
Abbestellen · Einstellungen

Michael Mayer

Hacker, Erklärbär, Unternehmer

MACH dir deine Security selbst. Jeden Samstagmorgen, teile ich anwendbare Tipps & Tricks, Strategien und Anekdoten aus der Welt der Cyber Security. Ganz ohne Fachchinesisch!

Read more from Michael Mayer

Heutzutage wird alles als Chefsache verkauft. Marketing ist Chefsache Buchhaltung ist Chefsache Employer Branding ist Chefsache Digitalisierung? – Klar, Chefsache! Reinigung? – You name it! Der erste Eindruck zählt schließlich. Kaffeequalität? – Aber hallo! Die Motivation der Mitarbeiter hängt davon ab. Und jetzt kommt auch noch IT-Security dazu. *seufz* Was heißt das denn genau? Als Chef konfiguriert man doch keine Firewalls?! Aber sprechen wir erst mal über die Basics! Was bedeutet...

about 12 hours ago • 3 min read

Was ist besser? Ein kleines, wendiges Speed-Boot, oder ein großer, robuster Tanker? Beide brauchen Cybersecurity, haben aber unterschiedliche Ausgangslagen. Die großen Tanker können große Lasten transportieren und dabei große Distanzen zurücklegen. Die kleinen Speed-Boote hingegen können ihren Kurs rasch ändern und kommen schneller ans Ziel. Ein Leck ist für beide Seiten nicht optimal. 🤿 Heute möchte ich über die unterschiedlichen Herangehensweisen an Security von Konzernen und KMUs...

8 days ago • 5 min read

Heute erzähle ich euch eine Geschichte, die vor zehn Jahren passiert ist und mich bis heute noch fasziniert. Vor genau 10 Jahren wurde Kaspersky Labs von einem unbekannten Angreifer gehackt, der monatelang unbemerkt in ihrem Netzwerk war und sie ausspioniert hat. Dass das damals bei einem der besten Anti-Viren-Hersteller geklappt hat, war echt eine Meisterleistung. Aber wie die Hackergruppe das angestellt hat, lässt sogar das Drehbuch von Ocean's Eleven alt aussehen. Aber erst mal die Basics....

15 days ago • 5 min read