Das Patchmanagement bezieht sich auf das regelmäßige Einspielen von Software-Updates, insbesondere den monatlichen Patches von Microsoft. Es ist eine wichtige Aufgabe der IT-Abteilung in Unternehmen, um die Sicherheit zu gewährleisten. Allerdings stellt sich die Frage, ob dies alleine ausreicht. Um diese Frage zu beantworten, ist es notwendig, vorhandene Schwachstellen und nicht ausreichend gepatchte Systeme zu identifizieren. Hierfür können spezielle Tools wie das Vulnerability Management von Greenbone eingesetzt werden. Diese Tools decken Schwachstellen im eigenen Netzwerk auf. In der Regel werden bei einem ersten Scan mehrere Schwachstellen entdeckt, die je nach Netzwerkgröße in die Tausende gehen können.
Die Bewältigung dieser großen Anzahl von Schwachstellen stellt für IT-Abteilungen in kleinen und mittelständischen Unternehmen oft eine Herausforderung dar, da der tägliche Betrieb nicht vernachlässigt werden darf. Ein risikobasierter Ansatz für das Patchmanagement kann in solchen Fällen Abhilfe schaffen, wenn bestimmte Kriterien berücksichtigt werden. Dazu gehören die Kenntnis der Assets des Unternehmens und die Bestimmung ihres Risikos durch eine Business Impact Analyse. Zudem sollte ein funktionierendes Risikomanagement implementiert und die Dokumentation der Infrastruktur aktuell gehalten werden.
Beim risikobasierten Patchmanagement werden die Assets basierend auf dem Risikomanagement, der Business Impact Analyse und der Infrastruktur in eine Risikomatrix eingeteilt. Um das Vulnerability-Risiko des Unternehmens schnellstmöglich zu reduzieren, werden die Assets, die für den Geschäftsbetrieb besonders wichtig sind, mit höchster Priorität gescannt und gepatcht. Wenn die IT-Abteilung mit einer großen Anzahl von Schwachstellen und den dazugehörigen Patches konfrontiert wird, kann mithilfe der Risikomatrix klar definiert werden, welche Schwachstellen zu einem späteren Zeitpunkt bearbeitet werden können.
Eine solche Matrix könnte wie folgt aussehen:
Um die IT-Abteilung zu entlasten, erfolgt die Bearbeitung der Schwachstellen gestaffelt, beginnend mit denjenigen mit der höchsten Priorität gemäß der Common Vulnerabilities and Exposures (CVE). Nachdem die Assets mit dem höchsten Risiko behandelt und mit Patches versorgt wurden, wird die Aufmerksamkeit auf Systeme mit mittlerem Risiko gerichtet. Dieser Prozess wird fortgesetzt, bis auch die Assets mit der niedrigsten Priorität in den Scan einbezogen wurden.
Beispielhaft sei folgende Darstellung und Regelwerk gezeigt:
Jede entdeckte Schwachstelle kann anhand einer Matrix klassifiziert werden, um ein Regelwerk zur Bearbeitung zu erstellen, das auf die Kapazitäten der IT-Abteilung abgestimmt ist. In diesem Regelwerk können die folgenden Kategorien festgelegt werden:
- VU Hoch: Diese sollten schnellstmöglich mit einem Patch geschlossen werden. Falls ein Patch nicht verfügbar ist, sollte ein Workaround angewendet werden. Wenn der Patch oder der Workaround den Betriebsablauf stört, sollte nach alternativen Lösungen gesucht werden. Schwachstellen in dieser Kategorie dürfen nicht aufgeschoben werden.
- VU Mittel: Diese sollten im normalen Patch-Zyklus geschlossen werden. Falls ein Workaround verfügbar ist, sollte dieser im nächsten Patch-Zyklus implementiert werden. Wenn der Patch oder der Workaround den Betriebsablauf stört, kann die Bearbeitung bis zum nächsten Patch-Zyklus verschoben werden.
- VU Niedrig: Diese sollten innerhalb eines Patch-Zyklus geschlossen werden, wenn der Nutzen die Kosten rechtfertigt. Falls der Patch oder der Workaround den Betriebsablauf stört, sollte ein Rollback durchgeführt und die Bearbeitung aufgeschoben werden. Schwachstellen in dieser Kategorie können mehrere Patch-Zyklen verschoben oder als „won’t fix“ behandelt werden.
Es ist entscheidend, ein effektives Patchmanagement einzuführen, um die Sicherheit zu verbessern. Die Ablehnung der Einführung eines Patchmanagements aufgrund fehlender Ressourcen wäre eine grob fahrlässige Entscheidung. Mit einem risikobasierten Patchmanagement kann das Patchen an die verfügbaren Ressourcen angepasst werden.