nnattalli - stock.adobe.com
Sichtbarkeit ist die Grundvoraussetzung fürs Patchen
IT-Teams können nur Rechner patchen, die sie auch sehen und zuverlässig erreichen. Das mag banal klingen, ist aber in der hybriden Arbeitswelt durchaus eine Herausforderung.
Zu den grundlegenden Aufgaben von IT-Teams zählt das Patchen von Endgeräten, doch in der hybriden Arbeitswelt fällt ihnen das oft schwer. Das liegt vor allem daran, dass die zu verwaltenden Rechner nicht mehr gut erreichbar innerhalb des Firmennetzwerks stehen, sondern in den Heimbüros der Mitarbeiter oder an anderen entfernten Standorten. Dort entziehen sich die Systeme leicht dem Zugriff von Management-Lösungen, weil beispielsweise spezielle Remote Access Clients von außen initiierte Verbindungen blockieren oder Mitarbeiter vorwiegend mit Cloud-Services arbeiten und nicht mit dem Firmennetzwerk verbunden sind. Für ein traditionelles Endpoint Management bleiben dadurch viele Rechner unsichtbar und erhalten keine regelmäßigen Sicherheitsaktualisierungen mehr. Dabei wären genau die wichtig, da an den privaten oder öffentlichen Internetzugängen die schützende Security-Infrastruktur des Unternehmens fehlt und Cyberkriminelle ungepatchte Schwachstellen in Betriebssystemen und Anwendungen gern ausnutzen, um Malware einzuschleusen.
Kann das Endpoint Management die Endgeräte sehen und ansprechen, verhindern überlastete WAN- und VPN-Verbindungen häufig das Einspielen von Patches. Kein Wunder: Schon wenige Sicherheitsupdates vermögen die Leitungen zu verstopfen und die Mitarbeiter im Arbeitsalltag zu behindern, wenn sie an tausende Geräte verschickt werden. In die Abend- oder Nachtstunden lassen sich die Aktualisierungen aber nur schlecht verlegen, da die Rechner in den Heimbüros üblicherweise nicht remote aufgeweckt werden sollen. Überhaupt erschweren die flexiblen Arbeitszeiten der hybriden Arbeitswelt die Planung von Patch-Prozessen, weil die Endgeräte nur zu ganz unterschiedlichen und wechselnden Zeiten erreichbar sind. Anders als in der Büroumgebung, sind die Bandbreiten darüber hinaus oft schmal, sodass die Übertragung länger dauert, und auch die Verbindungen können schneller abreißen, wenn Mitarbeiter zum Beispiel den Rechner für eine längere Pause herunterfahren oder unterwegs in ein Funkloch geraten.
Viele, vor allem älteren Lösungen für Endpoint Management sind untauglich für solche Bedingungen. Es fehlt ihnen an der Fähigkeit, unterbrochene Übertragungen bei nächster Gelegenheit selbstständig fortzusetzen, und sie liefern auch keine aussagekräftigen Rückmeldungen, ob Downloads abgeschlossen und Patches erfolgreich installiert wurden. IT-Teams haben dadurch keinen Echtzeit-Überblick über Patch-Stände und wissen schlicht nicht, welche Systeme schon auf dem neuesten Stand und welche noch gefährdet sind. Laut einer Umfrage des Ponemon Institute sehen 63 Prozent der IT- und Security-Experten die fehlende Sichtbarkeit als größtes Hindernis beim Schutz der Endgeräte in ihrem Unternehmen.
Motivation und Produktivität leiden
Die zuverlässige Verteilung von Patches, Updates und Software im Allgemeinen ist allerdings nicht nur aus Security-Sicht wichtig, sondern auch für die Pflege des digitalen Arbeitsplatzes. Denn damit Anwendungen reibungslos funktionieren, müssen sie aktualisiert werden, sonst fehlen unter Umständen hilfreiche neue Features oder dringend benötigte Bugfixes. Manchmal versagen Tools ohne Updates sogar komplett den Dienst, weil sie inkompatibel zu neueren Versionen sind. Das sorgt dann für Frust auf Seiten der Mitarbeiter und beeinträchtigt ihre Produktivität.
Häufig behelfen sich IT-Teams mit dem Aufbau umfangreicher Update-Infrastrukturen: Sie richten unzählige Update-Server an verschiedenen Standorten ein, um möglichst viele Endpoints zu erreichen, obwohl das hohe Investitionen erfordert und die Verwaltung der Systeme das Personal zusätzlich beschäftigt. Durchschnittlich bedient ein solcher Server in mittelständischen und großen Unternehmen dann aber lediglich sechs Rechner – auch das ist ein Ergebnis der Ponemon-Umfrage.
„Die zuverlässige Verteilung von Patches, Updates und Software im Allgemeinen ist allerdings nicht nur aus Security-Sicht wichtig, sondern auch für die Pflege des digitalen Arbeitsplatzes.“
Sascha Stock, Adaptiva
Besser geeignet sind daher Lösungen für Endpoint Management, die die zu verwaltenden Rechner via Peer-to-Peer (P2P) verknüpfen und als Verteilpunkte nutzen. Im Grunde genügt ein einziger Update-Server, um alle Aktualisierungen initial bereitzustellen. Sobald die ersten Rechner diese erhalten haben, können andere Systeme sie von ihnen beziehen. Im Laufe der Zeit stehen damit immer mehr Update-Quellen bereit, sodass eine sehr robuste Infrastruktur entsteht, die sogar den Ausfall des Update-Servers verkraftet. Bei der Verteilung der Updates innerhalb des P2P-Netzes werden nur nicht benötigte Speicher-, Rechen- und Netzwerkressourcen genutzt, sodass die Anwender ungestört an ihren Geräten arbeiten können.
In der Praxis kommen allerdings auch bei P2P-Lösungen meist mehrere Server zum Einsatz, um Patches und Updates gezielt in größeren Niederlassungen oder geografischen Regionen mit vielen Mitarbeitern bereitzustellen, dennoch werden insgesamt viel weniger Server als bisher benötigt. Zudem nimmt die Verteilung via P2P viel Last von WAN und VPN, da nur noch wenige Rechner ihre Aktualisierungen von den zentralen Servern beziehen.
P2P garantiert Sichtbarkeit
Durch die Verknüpfung der Endgeräte untereinander entsteht ein engmaschiges Netz, in dem die einzelnen Rechner die Systeme in ihrer Nachbarschaft kennen – schon allein, um Patches von einer möglichst nahen Quelle zu beziehen. Dadurch kann sich kein Gerät der Verwaltung entziehen, selbst wenn keine direkte Verbindung zu Firmennetzwerk besteht. Geht ein Rechner online, nimmt er Kontakt zu benachbarten Systemen auf, übermittelt seinen Patch-Status und prüft, ob neue Aktualisierungen vorliegen. Zudem setzt er unterbrochene Downloads automatisch fort, um sicherzustellen, dass kein Patch ausgelassen wird, nur weil das System zuvor während der Übertragung heruntergefahren wurde.
Diese Fehlertoleranz zeichnet moderne Lösungen für Endpoint Management ebenso aus wie die gute Sichtbarkeit der Systeme und ihres derzeitigen „Gesundheitszustands“. Über dynamische Dashboards liefern sie IT-Teams detaillierte Einblicke zu anstehenden, abgeschlossen und fehlgeschlagenen Aktualisierungen – für den gesamten Systembestand, aber auch für einzelne Geräte. Und auch wenn sich die Rechner im P2P-Netz selbst organisieren, verlieren IT-Teams nicht die Kontrolle und können die Verteilung von Patches und Updates exakt steuern. Im Zusammenspiel mit einer Lösung für Patch-Automatisierung geht des besonders einfach, weil sich verschiedene Patch-Prozesse vorab definieren lassen und dann sofort anlaufen, sobald ein Patch vorliegt.
Über den Autor:
Sascha Stock ist Regional Sales Director bei Adaptiva.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.