News zu Servicewelten
„Muss ich denn wirklich jeden (Datenbank) Patch einspielen?“ Um diese Frage zu beantworten, muss als erstes differenziert werden, ob es sich beim Patch um ein sicherheitsrelevantes oder ein funktionales Update handelt. Bei einem funktionalen Update (Funktions- oder Stabilitätsverbesserungen), musst du letztlich individuell für dich betrachten, ob und wie du die entsprechende Funktion nutzt und ob du dich etwaigen Beeinträchtigungen ausgesetzt siehst. Diese Patches sind meist optional.
Bei sicherheitsrelevanten Patches geht es eigentlich gar nicht mehr wirklich um die Frage, ob du diese einspielen musst, sondern vielmehr darum, wie schnell. Das wird wohl jeder uneingeschränkt bestätigen, der schon mal das Vergnügen hatte, sich mit kompromittierten Systemen auseinanderzusetzen und diese ggf. wiederherzustellen.
Zugegeben, das Patchen von Systemen ist sicher nicht die spannendste Aufgabe für dich als IT-Verantwortlichen. Aber es ist nun mal eine durchaus sehr wichtige Aufgabe und sollte als Teil des operativen Betriebes eine feste Rolle in den Abläufen der IT spielen. Wir haben bei unserem Projekt- und Service Delivery Manager Kai nachgefragt, was er zu dem Thema meint. Er erzählt, wie die Einstellung seiner Kunden diesbezüglich ist und welche Vorgehensweisen sich in der Praxis bewährt haben.
Kai
Projekt- und Service Delivery
Manager bei ASPICON
“Sicherheitsrelevante (Datenbank) Patches müssen – wenn sie deine eingesetzten Produkte betreffen – zeitnah eingespielt werden, Punkt. Das ist alternativlos hinsichtlich Stabilität und Sicherheit der Systeme.“, so Kai auf die oben gestellte Frage. In der Praxis haben sich Patch-Policies als Teil des Risikomanagements bewährt: “Einige unserer Kunden haben für das Einspielen von Patches spezielle Policies festgelegt. Diese geben beispielsweise vor, dass wir die Einspielung in definierten Wartungsfenstern vornehmen oder aber mit einer Ankündigung sowie einer definierten Vorlaufzeit direkt patchen sollen. Außerdem kann definiert sein, dass der Patch zunächst im Testsystem eingespielt werden muss, bevor die Einspielung im Produktivsystem erfolgt. Dies gibt dem Kunden die Chance, seine Applikation zunächst zu prüfen. In der Regel liegt dann zwischen Einspielung in Test- und Produktionsumgebung eine Woche Zeitversatz.“, sagt Kai. Ausreichend Zeit also, um die Systeme bestmöglich zu prüfen. Und in seltenen Fällen kommt es vor, dass ein Hersteller einen Patch auch mal zurückzieht, weil Kunden berichten, dass dieser Probleme verursacht. Das geschieht dann für gewöhnlich auch innerhalb einer Woche.
Sicherheitsrelevante Patches müssen zeitnahDarüber hinaus geben wir unseren Kunden die Möglichkeit, sich auf einer ASPICON Patchliste eintragen zu lassen. Diese Kunden informieren wir dann individuell, wenn sicherheitsrelevante Updates für deren Datenbankprodukte zur Verfügung stehen – auch zwischen den ohnehin geplanten Patches. “Die Inhalte der Patches werden in der Regel von unseren Technikern geprüft und mit den eingesetzten Produkten und Modulen unserer Kunden abgeglichen. Somit können wir die Kunden zeitnah und proaktiv informieren, sobald ein relevantes Update für ihre Datenbank verfügbar ist.”
Laut Kai ist zu spüren, dass das Thema Patchen mehr und mehr in den Fokus unserer Kunden rückt. Meist ist es auch nicht mehr nur das Augenmerk der IT-Abteilung, sondern immer öfter auch eine Thematik, die in der Managementebene Aufmerksamkeit genießt, denn schließlich handelt es sich um ein Sicherheitsrisiko, welches die Handlungsfähigkeit einer ganzen Firma aufs Spiel setzen könnte. „Es sind ggf. Anpassungen im Testsystem nötig, Downtimes sowie Termine müssen abgestimmt und Kosten freigegeben werden. Je besser diese Punkte in der Vorbereitung geklärt sind, desto weniger kommt es zu Störfaktoren. Ergo: Je routinierter das Patchen abläuft, umso weniger Aufwand verursacht es.“, gibt Kai aus seiner Erfahrung der letzten Jahre preis.
Bei unseren Kunden mit Consultingpaketen, Fully Managed Service und Abrechnung über Service Desk ist zumindest der kaufmännische Part für gewöhnlich abgedeckt. Beim Großteil unserer Kunden kennen wir außerdem die Anforderungen und Zeitfenster für Updates. Dementsprechend können wir passende Termine anbieten. Potentielle Downtimes sind in der Regel nahezu gleich, was den Prozess vorausschauend gut planbar macht.
Je routinierter das Patchen abläuft, desto wenigerAuf die Frage, ob es eine spürbare Veränderung der Priorisierung von Sicherheitsupdates innerhalb der vergangenen Jahre gibt, sagt Kai: „Ja, definitiv! Noch vor zwei Jahren wurden Sicherheitspatches als weniger wichtig angesehen – nach dem Motto: „Es wird schon nichts passieren“. Die in letzter Zeit ständig präsenten Meldungen zu diversen Sicherheitslücken und Angriffsszenarien führen de facto zu einer stärkeren Sensibilisierung der IT-Verantwortlichen und der Leitungsebenen. Ausreden wie „Wir haben kein Budget / keine Zeit“ oder „Wir können uns keine Downtimes leisten“ oder „Das haben wir schon immer so gemacht“, werden glücklicherweise deutlich weniger.”
Darüber hinaus ist das Thema Patching ein elementarer Bestandteil der Anforderungen des BSI für den IT Grundschutz. Vor allem für Unternehmen aus dem KRITIS-Umfeld gilt dies in besonderem Maße. “Klar kostet das Patchen von Systemen Zeit und Geld. Aber im Falle einer Kompromittierung in Verbindung mit dann meist noch viel längeren Downtimes, Produktionsausfällen oder gar Datenverlust ist der Aufwand um ein Vielfaches höher.”, sagt Kai abschließend.
Wenn wir von sicherheitsrelevanten (Datenbank) Patches sprechen, dann ist ganz klar zu sagen: Ja, jedes Update sollte eingespielt werden – und zwar zeitnah! Vorausgesetzt natürlich, dass deine eingesetzten Produkte oder Module davon betroffen sind. Denn jede – wenn auch vermeintlich noch so kleine – Sicherheitslücke kann dazu führen, dass du dich, respektive deine Systeme, angreifbar machst. Wir empfehlen unseren Kunden die Aufstellung eines Patchplans, damit das Thema nicht immer wieder von Neuem bewertet werden muss. Außerdem sollte das Patchen in den operativen Ablauf eingebunden werden, um zu einer gewissen Routine zu kommen. Denn (siehe oben): Je routinierter das Patchen abläuft, desto weniger Aufwand verursacht es.
Als unser Kunde hast du übrigens die Möglichkeit, dich auf unserer Patchliste eintragen zu lassen. Dann informieren wir dich künftig immer rechtzeitig und proaktiv vor den Terminen und finden gemeinsam mit dir einen Weg, um deine Systeme regelmäßig auf den aktuellen Stand zu bringen – selbstverständlich unter Berücksichtigung deiner individuellen Rahmenbedingungen. Natürlich sind wir dir auch gern bei der Erarbeitung der Patchstrategie behilflich.
Patch-Hotline: +49.371.909515–100
Hier findest du weitere Infos zu den vergangenen und aktuellen Patch Updates aus unserem News und Insights Bereich.
Share this article