OS/Windows | IT Security

Anwendungsvielfalt: praktisch, aber riskant

29. Oktober 2021, Avatar of William FendtWilliam Fendt

Kaum ein Tag vergeht, an dem nicht Software-Anbieter eine – mal mehr, mal weniger kritische – Sicherheitslücke in seiner Anwendung melden muss. Ein Blick in Heise Security oder auch andere Security-Portale genügt.

Bei Sicherheitslücken denken viele natürlich automatisch zuerst an Windows, das im IT-Umfeld unabhängig von der Abteilung weit verbreitet ist. Manch einer vielleicht auch noch an Office. Dabei hat der Software-Gigant aus Redmond in den vergangenen 15 Jahren die früher häufiger auftretenden Sicherheitsprobleme mittlerweile deutlich reduzieren können. 
Auch wenn die Microsoft-Produkte nicht fehlerfrei sind, tummeln sich auf den PCs der Anwendenden aber weitaus mehr Programme als nur Windows und Office. Spätestens mit Beginn des Lockdowns, in vielen Unternehmen aber auch schon davor, hat die Video-Telefonie via Zoom, Bluejeans und anderen auf breiter Front Einzug gehalten. Tools für das Lesen und Erstellen aller Arten von PDF-Dokumenten kommen längst nicht mehr nur von Adobe. Selbst bei Browsern ist es heute fast Standard, mindestens drei auf dem PC installiert zu haben – jeder mit seinen eigenen Sicherheitslücken.

Darüber hinaus deckt die typische Anwendungsvielfalt in Unternehmen auch noch ab:

  • Tools für das Remote-Management 
  • Druckertreiber (die eigentlich den Begriff „Treiber“ kaum mehr verdienen, sondern vielfach eigene Anwendung darstellen)
  • Passwortmanager, lokale Firewall, weitere Security-Lösungen
  • CRM-, ERP- und andere Lösungen zur Steuerung des Unternehmens
  • Bildbetrachter und Bildbearbeitungssoftware
  • Individuell benötigte oder gewünschte Software

Eine solche Liste lässt sich für die meisten Unternehmen sehr lange fortsetzen. Ein Problem aber bleibt: Jede noch so kleine App liefert zumeist ihre eigenen Schwachstellen mit. Das ist ein ernstes Problem. Schließlich bedeutet jede Lücke – und sei sie auch nur auf einem einzigen Rechner – ein mögliches Risiko für das Unternehmen.
 

Jedes Unternehmen liefert Patches

Es ist gut und hilfreich, dass die allermeisten Anbieter mittlerweile regelmäßig Updates und Patches liefern. In vielen Fällen lassen sich so zumindest kritische Sicherheitslücken in den Anwendungen sehr schnell schließen. Das ist beispielsweise bei Zero-Day-Lücken – wie sie immer wieder bei Browsern auftauchen – auch dringend notwendig

Allerdings muss man sich ebenfalls klarmachen, dass „Regelmäßig“+ „viele Anwendungen“= „Viele Patches“ bedeutet – unter Umständen auf einer großen Zahl an PCs. Dieses wiederum heißt, dass IT-Teams für diesen Aufwand Unterstützung benötigen. Auf der einen Seite betrifft das die Inventarisierung, schließlich muss die IT ganz granular wissen, auf welchem Rechner welche Software in welcher Version läuft.

Auf der anderen Seite benötigen IT-Verantwortliche aber auch Werkzeuge, um die Patches zu verwalten und punktgenau auf die einzelnen Systeme oder Systemgruppen auszuspielen. Eine solche zentrale Verwaltung ist aus verschiedenen Gründen dringend angeraten: Sinnvollerweise sollten Angestellte wenig oder gar keine Rechte auf ihren PCs haben. Mal eben schnell auf einen Link in einer betrügerischen E-Mail geklickt und schon läuft die unternehmensweite Installation von Ransomware.

Zudem braucht nicht jeder Rechner in jeder Abteilung das gleiche Update. Beispielsweise können bestimmte Excel-Makros nach einem Update nicht mehr funktionieren, wenn sie die eine oder andere „exotische“ Funktion der Tabellenkalkulation verwenden. Es kommt nämlich immer mal wieder vor, dass bestimmte, meist sehr selten genutzte Funktionen von einer Version nicht in ihren Nachfolgern übernommen werden. Also muss unter Umständen in einer solchen Umgebung testweise das Update installiert und die Funktion des Makros überprüft werden. Funktioniert dieses nicht, kann zunächst ein Rollback erfolgen und das Makro adaptiert werden. Erst dann lässt sich auch hier ein Update aufspielen. Wohl den Admins, die hier dann immer noch die volle Übersicht behalten können.

Insofern muss eine Patch-Management-Lösung nicht nur umfassend sein, sondern auch hochgradig anpassbar auf die Anforderungen und Bedürfnisse der Unternehmen, so wie unsere Lösung baramundi Patch Management & Managed Software.

Was muss eine gute Automatisierungslösung für Patch-Management bieten?

Sie sollte das Patch Management nicht nur für Windows berücksichtigen, sondern auch andere Plattformen wie iOS, Android und MacOS abdecken. Denn was hilft es Unternehmen, wenn zwar ihre Windows-Rechner sicher sind, mobile Plattformen aber nicht berücksichtigt werden, die ebenso Schwachstellen aufweisen und daher genauso eine potenzielle Gefahr für die Unternehmens-IT darstellen?

Darüber hinaus muss die Lösung auch ein Rollback ermöglichen – siehe oben. Denn es kommt hin und wieder vor, dass Software-Anbieter aus unterschiedlichen Gründen sicherheitsrelevante Updates auch wieder zurückziehen. Kann ein Patch-Management-Tool damit nicht umgehen, könnte sich daraus sehr schnell ein gravierendes Problem für das Unternehmen entwickeln.

Mehr Sicherheit auf allen Ebenen ist notwendig

Schon allein aus dieser kurzen Übersicht wird deutlich, dass eine leistungsfähige Lösung einen erheblichen Beitrag für mehr Sicherheit im Unternehmen bedeutet.

Darüber hinaus entfällt mit dem baramundi Patch Management & Managed Software der Zeitaufwand für das Suchen, Paketieren, Parametrieren und Prüfen der Verteilbarkeit neuer Updates komplett. Dies steigert die Produktivität der IT-Abteilung, entlastet sie von Routineaufgaben und gibt den IT-Expert:innen in Unternehmen gleichzeitig die Freiheit, sich nicht mehr nur vornehmlich um den Erhalt der IT-Infrastruktur kümmern zu müssen. Sie können wiederholt anfallende Aufgaben automatisieren, die Sicherheit im Unternehmen erhöhen und die dadurch gewonnenen Ressourcen auf die Weiterentwicklung ihrer Unternehmens-IT konzentrieren, die eine wichtige Basis des wirtschaftlichen Erfolgs eines Unternehmens ist.

Mehr lesen?