Updates, Updates, Updates… Upgrades…

Aus immer wieder aktuellem Anlass möchten wir hier erneut auf die Wichtigkeit und Notwendigkeit zum zeitnahen Einspielen von Patches und Aktualisierungen hinweisen.

Durch Aktualisierungen werden Sicherheitslücken behoben, Schwachstellen ausgebessert, der Komfort bei der Bedienung von Anwendungen erhöht, die Stabilität von Anwendungen verbessert und vieles mehr.

Risikofaktor: Mensch

Software wird von Menschen entwickelt – und Menschen arbeiten anschließend mit der Software. Die Software tut immer genau das, wofür und wie sie programmiert wurde. Der Mensch macht Fehler – sowohl der Programmierer, als auch der Anwender. Oft führen Fehler in einer Anwendung oder auch Fehler in der Bedienung, die durch die Programmierung nicht abgefangen werden, zu einer Beeinträchtigung der Informationssicherheit:

  • Programm-Abstürze
  • System-Abstürze
  • Datenverluste nach Programmfehlern
  • fehlgeschlagene Datensicherungen
  • sensible Daten gelangen aus der Firma oder dem Haushalt ins Internet oder andere unerwünschte Hände

Zur Risiko-Minimierung ist es sinnvoll und erforderlich, Betriebssysteme und Anwendungen immer aktuell zu halten.

Hierbei gilt der Grundsatz: Immer nur von vertrauenswürdigen Quellen! Laden Sie Gerätetreiber oder Softwareaktualisierungen nie von irgendwelchen Seiten aus dem Internet, sondern immer direkt vom Hersteller.

never change a running system

Dieser Leitsatz vieler sog. System-Administratoren ist wohl eines der am häufigsten missverstandenen Zitate der EDV-Welt. Abgeleitet wurde er von der Sportweisheit “never change a winning team”, von der jeder auch nur halbwegs fähige Teamchef weiß, dass dies nur eine sehr begrenzte Zeit gut gehen kann.

Tatsächlich geht es bei Administratoren, die nach diesem Leitsatz handeln wohl darum, ihre Unfähigkeit und ihr fehlendes Patchmanagement zu rechtfertigen. “Wenn es läuft, also nicht kaputt ist, repariere es nicht!”

Die Realität sieht anders aus:

Warum erscheinen Patches und Updates überhaupt? Weil der Hersteller/Programmierer festgestellt hat, dass der Programm-Code fehlerhaft ist – das System ist also bereits kaputt – und es muss repariert werden!

“Never change a running system” bedeutet nicht, ein augenscheinlich funktionierendes System nie zu patchen, sondern es bedeutet insbesondere bei kritischen Systemen:

  • Testen des Patches auf mindestens einem Referenz-System
  • Testen der Deinstallations-Routinen (Fallback-Verfahren)
  • Planen und Strukturieren von Wartungsfenstern für die betroffenen Systeme im Einsatz

⇒ kurz: Patch-Management

 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zum Thema Systemsicherheit und Patches 2014 einen Leitfaden herausgegeben. Bitte lesen Sie diese Informationen zusätzlich zu diesem Beitrag.