Patch-management

Was ist Patch-Management?

Patch-Management ist eine wichtige Maßnahme bei der IT- und Systemwartung. Einfach erklärt geht es dabei darum, Fehler und Schwachstellen mit sogenannten „Patches“ zu beheben.

Patch Management - Install

Diese Updates für Betriebssysteme, Netzwerkgeräte, Softwareprodukte und Anwendungen dienen dazu, Probleme zu lösen, die nach der Veröffentlichung gefunden wurden. Ein guter Patch-Management-Prozess kann Ihre Umgebung vor Cyberangriffen schützen, dafür sorgen, dass eine IT-Umgebung reibungslos und ohne Ausfallzeiten läuft, und auch die volle Konformität mit vielen gesetzlichen Anforderungen sicherstellen. Darüber hinaus kann er auch dazu beitragen, dass Software mit maximaler Leistung läuft.

Ihr Patch-Management-Ansatz muss alle verfügbaren Patches im Blick behalten und wissen, welche Patches für welche Systeme geeignet sind. Darüber hinaus muss er Ihren Patch-Plan erstellen und dokumentieren sowie die Systeme nach erfolgtem Patching gründlich testen. Die Automatisierung des Patch-Managements kann dazu beitragen, die Genauigkeit dieser Aufgaben zu optimieren und zu verbessern.

Warum lohnt sich der ganze Aufwand?

Software-Patches beinhalten Anpassungen am Programmiercode. Die Erstellung von Patches kostet Geld und Softwarehersteller entwickeln diese nicht einfach nur so. Hier sind die Hauptgründe, warum Hersteller von Software Patches erstellen und bereitstellen.

Sicherheit: Hacker nehmen Betriebssysteme und Systemdienste unter die Lupe und sind ständig auf der Suche nach Möglichkeiten, diese zu manipulieren, um einzudringen, Prozesse zu überwachen, Spyware zu installieren oder Daten zu stehlen. Eine Software, die heute sicher zu sein scheint, könnte zu einer Sicherheitslücke werden, wenn neue Informationen vorliegen. Diese neu erkannten Lücken, die sogenannten „Exploits“, werden durch Patches beseitigt.

Systemverfügbarkeit: Dadurch, dass sie festgestellte Fehler beheben, können Patches verhindern, dass das System abstürzt oder sich aufhängt. Möglicherweise haben Sie den Fehler, der durch die Aktualisierung behoben wird, selbst noch gar nicht bemerkt, wenn er jedoch vorhanden ist, könnte er die Verfügbarkeit Ihres Systems beeinträchtigen. Daher ist es besser, den Patch einzuspielen.

Einhaltung von Standards: Wenn Sie einen Branchenstandard wie PCI-DSS oder HIPAA einhalten müssen, sind Sie gezwungen, eine Patch-Management-Strategie zu implementieren, denn das ist eine Anforderung dieser Standards.

Garantien für das System: Softwareanbieter werden sich weigern, irgendwelche Garantien für Systeme zu übernehmen, wenn Käufer nicht durch das Einspielen von allen Patches dafür gesorgt haben, dass ihre Software auf dem jeweils aktuellen Stand ist. In einigen Fällen verweigern Anbieter auch den Zugriff auf den Support, wenn die Software nicht vollständig gepatcht wurde. Die Verwendung von veralteter Software kann auch vom Anbieter Ihrer Berufshaftpflichtversicherung als Ausrede dafür genutzt werden, im Schadensfall keine Zahlungen zu leisten.

Systemverbesserungen: Einige Funktionsverbesserungen werden nicht als vollständiges Update, sondern stattdessen als Patch bereitgestellt. Dies ist insbesondere dann der Fall, wenn die Verbesserungen die Effizienz eines Backend-Prozesses steigern sollen. Wenn Sie also keine Patches einspielen, verpassen Sie kostenlose Upgrades.
Kurz gesagt: Es ist keine gute Idee, Patches zu ignorieren.

Wie finde ich heraus, dass Patches verfügbar sind?

Obwohl die Installation von Patches relativ unkompliziert ist, kann es zu vielen Komplikationen kommen, wenn man sich um die gesamte Infrastruktur eines Unternehmens kümmern muss. Aus diesem Grund ist es besser, als Unterstützung ein automatisiertes Patch-Management-Tool zu verwenden. Patch-Management-Systeme können nach Updates suchen …

Wie kann ich prüfen, ob ein nächtliches Update tatsächlich erfolgreich war?

Es wäre zeitaufwendig, all diese Verfahren zum Sammeln und Analysieren der Daten manuell umzusetzen. Durch ein zentralisiertes Patch-Management-Tool, das auch Berichte zum Ausführungsstatus enthält, ist das Ganze viel einfacher und auch kostengünstiger.

Best Practices für das Patch-Management

Erstellen Sie Strategien für Patch Management-Systeme, indem Sie zunächst eine Reihe von Regeln festlegen. Diese Regeln informieren das Patch-Management-System über wichtige Betriebsparameter – beispielsweise darüber, wann das System für eine Patch-Ausführung verfügbar ist.

Ihre Strategien für das Patch-Management müssen auf die Geschäftsabläufe und Systemprioritäten abgestimmt werden. Sie werden im Patch-Management-System als eine Reihe von Profilen implementiert.

Hier sind einige Tipps:

1. Separate Profile pro Gerätetyp und Betriebssystem erstellen

Die Patches, die Sie erhalten, werden nicht all Ihre Geräte betreffen, denn Software ist eng mit dem Betriebssystem verknüpft, auf dem sie ausgeführt wird. Daher müssen Sie nicht alle Systeme gleichzeitig patchen. Das Erstellen separater Profile bietet Ihnen Flexibilität.

2. Kritische Systeme isolieren

Ein Beispiel dafür ist ein Betriebssystem oder ein Dienst, für den ein Registry-Eintrag nötig ist. Bei Patches, die auf solche Programme angewendet werden, ist ein Systemneustart erforderlich. Andere Software-Pakete erfordern dies nicht und diese sollten einer separaten Patch-Rollout-Gruppe zugewiesen werden.

3. Eine Strategie zur Systemvorbereitung erstellen

Richten Sie ein Profil ein, mit dem ein Systemwiederherstellungspunkt erstellt wird, sodass alle Komponenten auf ihren jeweiligen Status vor Beginn des Patch-Rollouts zurückgesetzt werden können, falls beim Einspielen des Patches ein Fehler auftritt. Ordnen Sie diesem Profil auch andere Administratoraktionen zu und legen Sie fest, dass dieses Profil vor jedem Patch-Rollout ausgeführt wird.

4. Ein reguläres Zeitfenster für Patches festlegen

Finden Sie einen Wochentag und eine Stunde an diesem Tag, in der es jede Woche kaum Benutzeraktivität gibt.

Wählen Sie nicht den Abend des letzten Arbeitstages der Woche – es sei denn, Sie möchten am nächsten Tag schon früh arbeiten, auch wenn es offiziell ein freier Tag ist. Beim Rollout an sich müssen Sie nicht dabei sein, Sie müssen jedoch im Anschluss die Systemverfügbarkeit prüfen, bevor sich die Benutzer anmelden und mit ihrer Arbeit beginnen.

5. Lücken im Rollout-Zeitplan einplanen

Wenn Sie innerhalb eines Zeitfensters Patches in mehreren Strategiegruppen einspielen möchten, lassen Sie zwischen den Startzeiten der einzelnen Patches eine Lücke von einer bis anderthalb Stunden. Dadurch können die Aktualisierungen in jeder Strategiegruppe abgeschlossen werden, bevor die nächsten starten. Führen Sie dabei zunächst die Patches in der Gruppe mit niedrigerer Priorität aus, für die kein Neustart erforderlich ist, es sei denn, in Versionshinweisen zu Patches sind Systemabhängigkeiten angegeben, die etwas anderes erfordern.

6. Sicherstellen, dass alle Geräte eingeschaltet sind

Vor Ihrem wöchentlichen Zeitfenster für das Patch-Rollout können Sie im Patch-Management-System überprüfen, ob Patches zum Einspielen vorhanden sind. Stellen Sie sicher, dass alle Geräte, die von dieser Strategiegruppenaktivierung betroffen sind, eingeschaltet und mit dem Netzwerk verbunden sind, bevor Sie das Büro am Abend verlassen.

7. Nach dem Rollout als Erste/r im Büro sein

Wählen Sie für das Zeitfenster zum Patch-Rollout einen Tag, nach dem Sie mit Sicherheit als Erste/r auf das System zugreifen. Setzen Sie das Rollout aus, wenn Sie einen Termin haben und es deshalb voraussichtlich nicht schaffen, das System nach einer Aktualisierung zu prüfen, bevor sich die Benutzer einloggen.

Weitere Informationen zu Best Practices für das Patch-Management finden Sie auf unserer Support-Seite zu diesem Thema.