#22 – Patch Management | Updates

Es ist Mittwochmorgen, der 30.03., Folge 22 unseres hagel IT-Podcasts. Guten Morgen, Philip. Guten Morgen, Dennis.

Was haben wir heute mitgebracht?

Ja, heute haben wir ein Thema, das so ein bisschen am Rande steht, ganz unscheinbar, aber eigentlich auch eine relativ zentrale Rolle einnimmt, wenn man sich so die Unternehmens-IT anschaut. Das Thema Patch Management.

Genau. Und ich glaube, dass das vielleicht sogar dem einen oder anderen da draußen gar nicht so ein richtiger Begriff ist, oder? Also ich könnte mir vorstellen, dass wenn man jetzt jemandem sagt, wer kümmert sich eigentlich um dein Patch Management, dass man dann durchaus auch mal die Antwort kriegen kann, um mein bitte was. Und ja, vielleicht hast du Lust, in ein, zwei Sätzen mal zu erläutern, wobei handelt es sich denn grundsätzlich beim Patch Management?

Genau. Patch Management fasst zusammen. Das Thema Software-Updates, könnte man sagen. Geht also im weitesten Sinne darum, dass man erstmal alle Softwarelösungen, die man so einsetzt, mit Updates versorgt und natürlich dann auch die Geräte mit Updates versorgt, die man so hat. Also was ich meine, sind sowas wie Firewalls oder Switches, die haben selber auch ein Betriebssystem, Software, eine Firmware drauf und auch die muss regelmäßig geupdatet werden.

Ja, jetzt ist glaube ich so der Initialgedanke bei jeglicher Form von Updates. Dass man immer erstmal daran denkt, ich habe ja mein Betriebssystem und das meldet sich ja durchaus irgendwie mal alle zwei Wochen oder so in mehr oder weniger regelmäßigen Abständen eben. Ja, ich möchte jetzt mal neu starten, ich habe hier ein Update. Jetzt kann man das ja machen, also im Prinzip kann ich ja sagen, okay, ich habe hier meine Mitarbeiter, ihr macht das immer schön brav, wenn das da steht. Aber gibt es da nicht vielleicht auch sinnvollere Lösungen, dass ich das Ganze irgendwo zentral verwalte? Und vielleicht sogar, dass ich... Ja, das ist ja auch ein bisschen das Problem, dass man sich in dem Fall vielleicht als Geschäftsführer sicherstellen kann, dass es auch wirklich jeder macht. Also klar, man kann immer viel sagen und die Leute können dann im Zweifel auch viel sagen und jetzt vergisst es mal einer. Also kann ja durchaus passieren, dass dann mal einer irgendwie ein, zwei Updates überspringt. So, und ich möchte eben sicherstellen, dass das immer auf dem aktuellen Stand ist. Geht das?

Ja, das geht und da sind wir auch an einem Punkt, jetzt hast du gesagt, naja, es kann ja durchaus mal sein, dass jemand ein, zwei Updates überspringt. Die Frage ist ja immer... Da will ich das Risiko, was damit einhergeht, da kommen wir sicherlich gleich nochmal drauf, also will ich diese Aufgabe irgendwo an meine Mitarbeiter übertragen. Also will ich jedem Einzelnen, egal in welcher Position er jetzt arbeitet, die Verantwortung übertragen, dass er sich um Updates kümmert. Und was ist dann mit PCs, die gegebenenfalls von mehreren Personen genutzt werden? Muss dann jeder darauf achten oder macht es am Ende keiner, weil jeder denkt, naja, der andere wird es schon machen? Das funktioniert nicht und da kommt ein bisschen das Management. Aus dem Wort Patch-Management dann ins Spiel, wo es darum geht, irgendwo eine Instanz zu schaffen, die genau das macht, was du beschrieben hast. Also die zentral die Updates verwaltet und eben auch überprüft, sind sie durchgeführt und gegebenenfalls dann auch durchführt.

Und die dann aber auch melden würde im Zweifel, wenn eben ein Update nicht durchgeführt ist, ja? Also die würde mich dann auch darüber in Kenntnis setzen.

Genau, also die muss natürlich dann an der Stelle, wenn es irgendwo hakt, die Hand heben im weitesten Sinne, also sprich irgendwie eine Alarmierung loslegen. Die dann irgendjemandem Bescheid sagt, hier muss mal jemand per Hand drauf gucken, der sich damit auskennt, ja.

Ja, jetzt haben wir ja so ein bisschen das Thema Betriebssystem, hatte ich ja eingeläutet. Jetzt ist ja aber auf so einem klassischen Rechner, egal ob jetzt Windows oder Mac, eben nicht nur das Betriebssystem drauf, sondern klassisch auch noch irgendwie ein zweiter Browser, würde ich jetzt einfach mal unterstellen. Und noch irgendwie zwei, drei andere Sachen, in der Regel sowas wie Office und vielleicht noch ein bisschen unternehmensspezifischer Kram. Kann ich denn auch die... Diese Arten von Software in dieses Patch-Management mit übernehmen?

Ja, viele Lösungen können das. Es gibt ja verschiedene Anbieter am Markt für solche Patch-Management-Software. Und viele davon können das nehmen. Die können gängige Drittanbieter-Lösungen mit patchen. Dabei geht es typischerweise um so klassische Büro-Anwendungssoftware. Also wir haben ja, man hat es eben gerade schon beschrieben, typischerweise irgendwie einen zweiten Browser noch mit drauf. Also die sollte die gängige Range der Browser abdecken, die es so gibt. So viele sind es da ja doch nicht, die da zum Einsatz kommen. Und darüber hinaus natürlich gängige Office-Applikationen. Ja, generell Bürosoftware. Und ja, typischerweise gibt es halt so die Utilities, nennen wir es immer noch. Also sowas wie irgendwelche Programme zur Paketverwaltung, also Archivierung. Dann vielleicht Applikationen für... Bearbeitung etc. Das sollte die alles irgendwie im Blick haben und im besten Falle mit Updates versorgen können.

Ja, jetzt glaube ich einfach mal oder unterstelle das im weitesten Sinne vielleicht einfach mal. Ich kann mir vorstellen, dass es Leute gibt, die vielleicht unter dem Begriff Update auch erstmal nur verstehen oder die die Assoziation haben, dass es im Prinzip eine neue Programmversion einer Software ist, die vielleicht neue Features, Funktionen... Etc. mitbringt und deswegen vielleicht auch unter Umständen einfach mal sagen, ja, das brauche ich vielleicht gerade heute gar nicht. Also die Software auf dem Stand, wie sie ist, mit der kann ich ganz hervorragend arbeiten. Ich brauche da nichts Neues.

Sag ich jetzt einfach mal so ganz plump.

Wieso ist es denn so wichtig, dass ich grundsätzlich immer Updates installiere, wenn ich vielleicht auch neue Programmversionen für mein Empfinden gar nicht brauche?

Ja, Updates selber bringen zum einen natürlich Funktions... Ja, ja, ja. ... und erweitern den. Was aber viel häufiger kommt, sind Updates, die Probleme beheben. Und das können zum einen Probleme in der Funktionsweise der Software sein, also dass eine in der Software implementierte Funktion nicht so funktioniert, wie der Hersteller es eigentlich vorgesehen hat, also wie sie funktionieren sollte. Und auf der anderen Seite, und dann sind wir wieder so ein bisschen in dem Bereich Sicherheit, die schließen eben ganz häufig aus Sicherheitsgründen. Sicherheitsgründen. Und das ist dann der Bereich, wo es interessant wird und wo man auch so ein bisschen dann erkennt, warum das so wichtig ist. Denn diese Softwareprogramme, die man so einsetzt, die haben alle unterschiedliche Rechte auf dem Betriebssystem. Und die haben auch alle unterschiedliche Verbindungen, gegebenenfalls nach außen. Wenn ich Software habe, die eben mit dem Internet arbeitet, mit irgendwelchen Servern arbeitet, dann hat die eine Internetverbindung, die sie aufbaut. Und über diese verschiedenen Schnittstellen kann natürlich... ... natürlich auch schadhafter Code auf das System eingeschleust werden. Und das ist halt das Wichtige, dass ich immer auf dem aktuellen Stand bin, damit einfach die Updates, die der Hersteller in seinem Programm findet oder die von anderen Leuten in dem Programm gefunden werden und dann vom Hersteller geschlossen werden, dass die eben auch bei mir auf dem System nicht mehr offen sind und da eben keine Gefahr von ausgeht.

Okay, also kann ich im Prinzip, wir hatten ja letzte Woche, dass das... ... ziemlich eingängig besprochen und tatsächlich sogar die Folge auch so genannt, kann ich schon sagen, im weitesten Sinne, dass das Patchmanagement bzw. dass eben die Updates für meine Software auch so ein bisschen Teil der klassischen Zwiebelschicht, der klassischen Zwiebel sind, oder? Also schon eine Schicht auch in diesem Zwiebelbeispiel. Absolut, ja.

Und vor allen Dingen dann, wenn man sich das im Schaubild der Zwiebel einfach nochmal vor Augen hält, auch relativ weit in eine Schicht, weil halt direkt auf dem Client, direkt auf dem Server. Also direkt irgendwo an dem Punkt dran, an den ein Angreifer, ein Potenzieller eben auch ran möchte.

Ja, jetzt liest man hin und wieder mal so ein bisschen so ganz plakativ so nach Schlagzeilen-Niveau so was wie Zero-Day-Lücken, die dann auch quasi umgehend geschlossen werden von den Herstellern, die es rausfinden. Was hat das damit auf sich? Ist das nochmal mit einem, ich sag mal, gewisser Form ein besonderes Augenmerk draufzulegen? Ist das im Prinzip erstmal auch nichts weiteres als eine klassische Sicherheitslücke, die da einfach durch so ein Update geschlossen wird?

Ja, es ist im ersten Moment auch erstmal eine Sicherheitslücke, die durch ein Update geschlossen werden muss und geschlossen werden kann. Jetzt muss man so ein bisschen gucken, dass die Zero-Day-Exploits das Problem haben, dass sie in dem Moment, wo sie bekannt werden, häufig schon ausgenutzt werden. Mhm. Und aktiv genutzt werden. Das heißt, man muss da einfach manchmal nochmal getrennt vom normalen Patch-Management agieren. Das heißt, wenn ich sage, ich habe beispielsweise für meine normalen Updates, habe ich zwei Tage die Woche, wo ich Updates durchführe oder ich führe die täglich durch um 18 Uhr. Also irgendwie habe ich einen Schedule dahinter, einen Zeitplan dahinter, zu dem ich Updates durchführe. Dann kann es notwendig sein, dass ich eben im Falle vom Bekanntwerden von so einem Zero-Day-Exploit, der vielleicht meine Firewall betrifft, dass ich da einfach nochmal abweichend von meinem normalen Update-Zeitplan handel und dieses Update vorziehe und sofort einspiele, um diese wirklich kritische Sicherheitslücke, die vielleicht auch aktiv schon ausgenutzt wird und vielleicht auch massenhaft ausgenutzt wird, dann zu schließen. Wir haben das Beispiel Exchange-Server gesehen vor einiger Zeit. Da war das genau das Thema. Da wurden also Server mit Hilfe der Zero-Day-Exploit... ...die Lücke massenhaft angegriffen und zwar automatisiert von dafür speziell genutzten Servern. Und davon geht halt ein sehr, sehr hohes Risiko aus, weil die Infektion sehr einfach ist eines Zielsystems. Und da muss ich dann eben möglichst schnell handeln, damit diese Bedrohung eben sofort geschlossen werden kann, wie so eine Lücke sofort geschlossen werden kann.

Also kann man quasi zusammengefasst so ein bisschen sagen, diese Zero-Day-Exploits-Lücken, sind quasi im weitesten Sinne Lücken, auf die die Hersteller der Software nicht proaktiv vorbereitet haben mit Updates, sondern wo es im Zweifel auch für das ein oder andere System eben schon zu spät ist. Genau richtig.

Die werden dann bekannt und werden häufig dadurch bekannt, dass Systeme eben schon befallen sind. Und dann muss man eben sofort handeln, ja.

Jetzt darf auch für uns quasi als Dienstleister die Frage erlaubt sein, was macht denn einen guten Dienstleister in diesem Zusammenhang? Also wie muss ich mir als Kunde oder als Interessent für so ein Patch-Management vorstellen, wie mein Dienstleister mich da mitnimmt? Also was ist für mich der, ich sag mal, am wenigsten aufwendige Umfang für so ein Patch-Management?

Ja, im besten Falle sollte der Dienstleister halt von sich aus eine Lösung dafür mitbringen, die er mit einbietet, mit einführt, bei der er sich um die Updates kümmert und eben auch um diese Lücken, die er da mitnimmt. Ja, Alarmierung kümmert, wenn mal irgendwo was sein sollte, wenn mal irgendwas nicht funktioniert auf irgendeinem Client an Updates, der das also im Blick hat dauerhaft und der dann mit mir eben als Kunden abstimmt, wann sollen Updates installiert werden, wann passt es rein, welcher Zeitplan ist da möglich und ja, im besten Falle eben auch ein regelmäßiges Reporting macht, wie der Stand ist, damit ich eben als Kunde, als Geschäftsführer dann auch sicher sein kann, dass meine Systeme da auf dem aktuellen Stand sind. Ein Punkt, den wir auch mal wieder häufiger feststellen, ganz wichtig, ich kann natürlich nur dann Updates installieren für ein System, wenn das zum einen für bestimmte Software eben vom Hersteller einen Supportvertrag gibt, also für bestimmte Software und Hardware muss es so sein, dass der Hersteller diese Updates zwar bereitstellt, aber man muss dafür eben beim Hersteller, bei der Firma einen Supportvertrag beschlossen haben mit aktiver Laufzeit. Und der muss vorhanden sein. Und zum anderen muss ich halt dann auch auf aktuelle Versionen setzen. Heißt, kombiniertes Beispiel, wir haben jetzt aktuell Windows 11, es gibt noch Windows 10, aber Windows 7 und Windows 8, die haben keine Support-Ware von Microsoft. Also da gibt es keine Updates mehr für. Und dann kann ich eine Patch-Management-Lösung haben, die kann noch so gut sein, die kann dann keine Updates mehr installieren, weil es keine mehr gibt. Genau.

Okay, und das meinst du quasi auch mit deinem vorherigen Beispiel, wo du eben sagst, es ist wichtig, dass man unter Umständen eben für entsprechende Software auch Lizenzen hat oder aktive Supportverträge, weil ansonsten kann eben auch das Patch-Management so gut sein, wie es will. Der Dienstleister hat einfach schlichtweg nicht die Möglichkeit, diese Updates zu bekommen und zu installieren.

Keiner hat die Möglichkeit, genau. Und da ist es halt auch ganz wichtig, dass man eben dann mit dem Dienstleister zusammenarbeitet und schaut, wo gibt es Probleme. Uns ist bekannt natürlich als Dienstleister, dass es immer wieder Fälle gibt, in denen bestimmte Konstellationen von Software und Hardware zusammenpassen müssen. Aber da muss man Lösungen für finden, wie das funktioniert. Wir können für Windows 7 zum Beispiel diese Extended Support Updates beziehen. Die kosten halt Geld. Dafür stellt Microsoft eben weiterhin Updates zur Verfügung. Also solche Lösungen muss man suchen und dann eben implementieren, um da nicht zu sagen, wir haben alles auf einem neuen Stand, wir haben einen super Virenschutz, wir haben eine super Firewall, wir haben ein tolles Backup, wir haben super Passwörter und alles. Aber wir haben irgendwo alte Windows 7 PCs, für die gibt es x bekannte Sicherheitslücken, da kann jeder rein. Dann ist es zwar schön, der Rest, aber am Ende ist eine Lücke halt eine Lücke. Ja.

Proaktivität ist, glaube ich, auch ein ganz wichtiges Thema, oder? Also wir hatten ja vorhin kurz von diesen Zero-Day-Exploits gesprochen. Kann ich schon erwarten, dass mein Dienstleister mich über sowas informiert?

Also ich will mir das nicht so vorstellen müssen,

dass ich quasi als Geschäftsführer dann jeden Morgen irgendwie klassisch die einschlägigen IT-News lesen muss, um zu wissen, es gibt eine neue Zero-Day-Lücke.

Ja. Nein, das sollte schon vom Dienstleister aus kommen. Man muss so ein bisschen abstufen. Ich sage mal, für die Standardsysteme auf jeden Fall. Wenn es jetzt um spezielle Applikationen geht, Branchen-Software geht, die in meinem Betrieb vorhanden sind, dann ist es ein bisschen schwierig, weil es ist so, dass mich ja häufig dann der Hersteller anschreiben wird an meine Kontaktdaten, an meine E-Mail-Adresse und sagen wird, hey, wir haben hier eine Sicherheitslücke bei uns in der Software, die wird geschlossen mit dem nächsten Update. Sowas muss ich natürlich in der Regel an meinen Dienstleister weiterleiten, weil wenn ich jetzt auf uns schaue als Dienstleister, wir haben Kunden aus allen möglichen Branchen dabei, die haben alle unterschiedliche Softwarelösungen im Einsatz für ihr Tagesgeschäft. So, und da können wir halt nicht für alle irgendwo schauen, wann kommen welche Updates raus. Also da muss man dann so ein bisschen als Kunde auch mithelfen. Und wenn dann so eine Mail vom Hersteller kommt, die einfach kurz weiterleiten an den Dienstleister und sagen, hey, hier ist ein Update, könnt ihr euch darum kümmern. Und ja, dann sollte das möglich sein, dass der Dienstleister das mit übernimmt.

Genau, eine Sache hatte ich noch. Und zwar, jetzt haben wir ja quasi im weitesten Sinne von so klassischen PC-Arbeitsplätzen gesprochen. Wir hatten vor ein paar Folgen das Thema Mobile Device Management.

Wie ist es da? Ist da auch?

Besteht da auch die Möglichkeit, die in so eine Art Patch Management mit aufzunehmen, dass eben halt auch Android-Geräte oder iOS-Geräte immer auf dem aktuellsten Betriebssystemstand sind?

Ja, Mobile Device Management ist auch da ein Thema. Auch da kann man mit bestimmten Lösungen auch die Updates kontrollieren. Bei iOS ist es relativ einfach, bei Android wird es ein bisschen komplizierter. Aber möglich ist es, sinnvoll ist es und sollte man auf jeden Fall im Blick haben, ja.

Danke erstmal soweit. Jetzt bleibt am Ende sozusagen klassisch wieder darauf hinzuweisen, falls Sie sich jetzt für das Thema Patch Management interessieren oder vielleicht das auch schon in gewisser Art und Weise machen, aber vielleicht noch die eine oder andere Frage dazu haben, verweisen wir wieder gerne auf unsere Internetseite hagel-it.de slash Termin. Da können Sie sich mit mir, Philip oder einem unserer Kollegen einen entsprechenden Termin buchen, dann können wir darüber sprechen. Ja, mir bleibt an dieser Stelle erstmal nur nochmal Danke zu sagen, Philip, für diese Erläuterung. Und von meiner Seite hören wir uns nächste Woche wieder.

Genau so ist es. Danke, Dennis.