peangdao - stock.adobe.com
Patch-Verfahren, auf die sich die gesamte IT einigen kann
Das Einspielen von Patches ist für die IT-Sicherheit unabdingbar, führt aber häufig zu Spannungen innerhalb der IT-Abteilung. Diese lassen sich mit Best Practices vermeiden.
Es ist allgemein bekannt, dass Betriebssysteme und Anwendungen mit Updates versehen würden müssen. Geht es um die Häufigkeit, in der Patches eingespielt werden sollen, gehen die Meinung auch innerhalb der IT-Abteilung gerne mal auseinander. So differieren die Ansichten häufig zwischen denjenigen, die für den IT-Betrieb verantwortlich sind und dem Security-Team. Und das liegt nicht daran, dass die einen Sicherheit möchten und die anderen nicht.
Unterschiedliche Meinungen sind in IT-Teams oft hilfreich, da sie eine Reihe von Perspektiven und Möglichkeiten eröffnen. Sie können aber auch zu Schuldzuweisungen führen, die allen schaden. Wer den Update-Prozess durchführt und wie oft er durchgeführt wird, ist ein Arbeitsablauf, den alle gemeinsam festlegen und unterstützen müssen.
Wie sollte diesbezüglich idealerweise die Zusammenarbeit zwischen den verschiedenen Bereichen der IT aussehen?
Die IT und Security-Teams sind Kollegen, keine Feinde
Sicherheitsteams sorgen dafür, dass das Unternehmen und seine Anwendungen, Daten und Infrastrukturen sicher bleiben; dies ist unbestrittene Notwendigkeit. Probleme bei der IT-Sicherheit bergen Risiken, die den gesamten Geschäftsbetrieb gefährden können.
Die IT-Security setzt bei Schutzmaßnahmen häufig ihre eigenen Prioritäten, wie etwa bei Regeln hinsichtlich der zu vergebenen Kennwörter, die beispielsweise eine bestimmte Länge und Komplexität aufweisen müssen. Aus dem Blickwinkel der Security wird häufig jeder Patch als kritisch eingestuft und sollte so schnell wie möglich installiert werden. Dies betrifft jedoch auch den Aufgabenbereich des IT-Teams, das für den Betrieb verantwortlich.
Diese Situation kann leicht dazu führen, dass sich die Mitarbeiter des IT-Betriebs ungehört oder übergangen fühlen, da sie die erste Anlaufstelle für das - oft verärgerte - Feedback von Kunden und Benutzern sind, wenn Systeme heruntergefahren werden oder die Produktion für Patch-Maßnahmen unterbrochen wird. Es muss ein Gleichgewicht zwischen der Durchsetzung von Sicherheitsmaßnahmen und der Abarbeitung traditioneller Geschäftsaufgaben bestehen, da beide Aufgaben und Teams miteinander in Beziehung stehen - und aufeinander angewiesen sind.
Partnerschaftliche Zusammenarbeit fördern
Es ist wichtig, einen Rahmen zu schaffen, der eine entsprechende Zusammenarbeit definiert. Führen Sie diesen Balanceakt Schritt für Schritt durch. Eine der wichtigsten Fragen, die es zu klären gilt, ist, wie der Patching-Prozess gehandhabt werden soll. Dies bestimmt einen großen Teil des Rahmens, da es das Zeitfenster festlegt, das für die Durchführung von Patches und die Wiederherstellung von Ausfällen erforderlich ist. Das ist nicht so einfach, wie es vielleicht klingt. Seien Sie sich über diesen Prozess und die Verantwortungshierarchie im Klaren - und dokumentieren Sie alle Entscheidungen -, denn das ist nicht selbstverständlich.
Beispielsweise könnten die Verantwortlichen für die Anwendung Ihnen nur Minuten für ein Zeitfenster für den Ausfall einräumen, anstatt einen realistischen Zeitrahmen, in dem Sie arbeiten können. Oder das Managementteam verlangt, dass jeder Patch separat installiert und dann getestet wird, bevor der nächste Patch in Angriff genommen wird, was dazu führen kann, dass Windows-Updates eher Tage als Stunden in Anspruch nehmen.
Für einen IT-Experten mit Erfahrung in diesem Bereich mag das lächerlich klingen, aber für viele andere hat der Aktualisierungsprozess für mobile Geräte wie Telefone und Tablets - nämlich Apps, die sich in Sekundenschnelle aktualisieren - eine verzerrte Sichtweise auf die Funktionsweise von Software geschaffen.
Es ist unwahrscheinlich, dass ein IT-Team jeden einzelnen Patch-Hinweis erfassen muss, aber es sollte einen allgemeinen Rahmen sowohl für das Patchen als auch für alle zusätzlichen Schritte erstellen, die nach dem Patchen eines Servers durchzuführen sind. IT-Teams könnten zum Beispiel die Schritte zum Starten von Diensten oder Prozessen aufnehmen, um sicherzustellen, dass die Anwendung wieder online ist.
Die Erwartungen harmonisieren
Sobald die für den Betrieb zuständige IT den Rahmen und die Prozesse definiert haben, müssen sie die Erwartungen sowohl der Sicherheitsteams als auch der Endbenutzer festlegen. Die Patch-Häufigkeit ist oft die erste Überlegung, aber eigentlich ist dies ein sekundärer Aspekt.
Ausschlaggebend für die Frequenz ist der nach der Installation eines Patches erforderliche Testumfang. Wenn die Tests nur einige wenige wichtige Anwendungen betreffen, kann die Kadenz schnell sein; wenn Sie jedoch Hunderte von Anwendungen testen müssen, verlangsamt sich diese Kadenz auf Monate zwischen den Patches. Dieser Aspekt hängt von den Auswirkungen auf den Geschäftsbetrieb ab.
Folglich begnügen sich die meisten Unternehmen damit, die wichtigsten Anwendungen nach einem Patch zu testen, anstatt einen umfassenden Durchlauf aller Anwendungen durchzuführen. Es besteht die Möglichkeit, dass bei dieser Praxis ein Fehler übersehen wird, aber die Verkürzung der Testzeit wirkt dem Risiko entgegen, wodurch die Patch-Häufigkeit erhöht wird - was die Sicherheit gewährleistet. Dieses Gleichgewicht zwischen den Gruppen ist der Schlüssel: Es ist ein Kompromiss für alle beteiligten Parteien.
Ausnahmen festlegen
Die Ausnahme ist ein kritisches Problem, auf das sicherheitsorientiert und anders als bei normalen Updates reagiert werden muss. Allerdings bestimmt der Softwarehersteller die Definition von kritisch, nicht das interne Sicherheitsteam. Letzteres öffnet dem Missbrauch des Kennzeichens für kritische Patches Tür und Tor, was die Sache unübersichtlich macht.
Die Installation kritischer Patches durch alle Mitarbeiter sollte eine seltene Ausnahme sein, niemals die Norm. Die normale Aktualisierungsplanung sollte in einer monatlichen oder vierteljährlichen Besprechung festgelegt werden und durch Erinnerungssysteme unterstützt werden, die Teil des Prozesses werden. Ist dieser Prozess erst einmal etabliert, ist es für alle Beteiligten einfacher zu wissen, wann der Ausfall bevorsteht und wann er abgeschlossen ist. Wenn bekannt ist, dass das System beispielsweise am siebten Tag eines jeden Monats zwischen 1 und 2 Uhr nachts ausfällt, können die Mitarbeiter dies einplanen und sich entsprechend vorbereiten.
Unerwartete Ausfälle sorgen für Frustration, aber geplante Ausfälle sind für den Endbenutzer ein nicht-optionaler – und erwarteter – Teil des Alltags. Patches werden zu einem einfachen Hindernis, dem nur wenige Aufmerksamkeit schenken, was das ideale Szenario für IT-Teams ist. Ausfallfenster und Aktualisierungen, die unbemerkt - oder unbestätigt - bleiben, sind ein Zeichen für ein erfolgreiches System. Insgesamt sollte diese Zusammenarbeit und der Kompromiss zwischen IT-Betrieb, IT-Sicherheit und Geschäftsleitung zu einer Patching-Kadenz führen, die alle drei Gruppen zufriedenstellt.