1. Top-Themen
  2. IT-Sicherheit & Kritis
  3. Programme auf den neuesten Stand patchen

Programme auf den neuesten Stand patchen

Patch

Veröffentlicht 15.10.2021 07:00, Kim Wehrs

Schwachstellen in Büroanwendungen und anderen Programmen sind nach wie vor eines der Haupteinfallstore für Cyber-Angriffe. Wenn solche Sicherheitslücken bekannt werden, stellen die Hersteller in der Regel Sicherheitsupdates - „Patches“ - bereit, um diese Lücken zu schließen. Verantwortliche sollten sich  einen Überblick über die in ihrem Unternehmen eingesetzten Programme verschaffen und dafür sorgen, dass Sicherheitsupdates so rasch wie möglich eingespielt werden – oder die häufig angebotene automatische Aktualisierungsfunktion nutzen.

Aufgrund der großen Komplexität heutiger Software sind Fehler bei der Entwicklung nicht zu vermeiden. Moderne Entwicklungsprozesse unterstützen zwar gezielt bei der Programmierung sicherer Software, trotzdem treten Schwachstellen nach wie vor häufig auf. Diese Fehler müssen nicht immer unmittelbar sicherheitskritische Folgen haben, Schutzmechanismen im Betriebssystem oder in der Anwendung selbst verhindern oftmals eine schadhafte Ausnutzung. In der Praxis ist dennoch ein entsprechendes Management von Schwachstellen und Sicherheitsupdates durch den Anwender erforderlich: Die Gefährdungslage sollte permanent abgeschätzt und verfügbare Sicherheitsupdates kurzfristig ausgerollt werden. Bis diese Sicherheitsupdates verfügbar sind, müssen wirksame Maßnahmen gegen die Ausnutzung offener Schwachstellen ergriffen werden (allianz-fuer-cybersicherheit.de).

Einfacher gesagt als getan: Studien wie von ivanti zum Thema Patching zeigen, dass eine Mehrheit (71 %) der IT- und Sicherheitsexperten Patchen als zu komplex, umständlich und zeitaufwändig empfindet. Auch die Corona-Pandemie zeigt Auswirkungen auf das Thema: So gaben 57 % der Befragten an, dass Remote-Arbeit die Komplexität und den Umfang des Patch-Managements gesteigert hat. Nicht zuletzt deshalb rückt Patching häufig vor anderen Aufgaben in den Hintergrund, wie 62 % der Befragten angaben.

Die Hälfte der Sicherheitsteams gab an, dass sie beim Patching 53 % der Zeit für das Management und die Priorisierung kritischer Schwachstellen in Anspruch genommen wird. Auf Platz zwei folgt die Bereitstellung von Lösungen für fehlgeschlagene Patches (19 %), dann das Testen von Patches (15 %) und schließlich die Koordination mit anderen Abteilungen (10 %). Die Herausforderungen, mit denen IT- und Sicherheitsteams beim Patching konfrontiert sind, könnten der Grund dafür sein, dass 49 % der Befragten die derzeitigen Patch-Management-Protokolle ihres Unternehmens nicht ausreichend finden, um Risiken wirksam zu minimieren.

 

Patch für Sicherheit

Gleichzeitig nimmt die Geschwindigkeit weiter zu, mit der Schwachstellen ausgenutzt werden. Deshalb ist Tempo auch ein wesentlicher Faktor bei der Abwehr von Angriffen. Zur Verdeutlichung: Es dauert im Schnitt zwischen 100 und 120 Tage, bis Unternehmen einen verfügbaren Patch ausrollen. Bedrohungsakteure benötigen jedoch durchschnittlich nur 22 Tage nach Veröffentlichung einer Schwachstelle, um einen funktionsfähigen Exploit zu entwickeln, so eine Analyse der Rand Corporation (Zero Days, Thousands of Nights  - The Life and Times of Zero-Day Vulnerabilities and Their Exploits, by  Lillian Ablon, Andy Bogart).

Der WannaCry-Ransomware-Angriff, bei dem schätzungsweise 200.000 Computer in 150 Ländern verschlüsselt wurden, ist ein Paradebeispiel für die schwerwiegenden Folgen, die auftreten können, wenn Patches nicht rechtzeitig angewendet werden. Ein Patch für die Sicherheitslücke, die von der Ransomware ausgenutzt wurde, existierte bereits mehrere Monate vor dem ersten Angriff, doch viele Organisationen haben ihn nicht implementiert. Vier Jahre später haben zwei Drittel der Unternehmen ihre Systeme immer noch nicht gepatcht. Dennoch werden Organisationen auf der ganzen Welt immer noch von WannaCry-Ransomware-Angriffen heimgesucht; von Januar bis März 2021 stieg die Zahl der von WannaCry-Ransomware betroffenen Organisationen um über die Hälfte.

 

Von Wolf-Dietrich Lorenz
Foto: Adobe Stock / WrightStudio


Lesen Sie mehr zum Thema "IT-Sicherheit & Kritis"

Cyber-Sicherheitsrisiken in Krankenhäusern
IT-Sicherheit & Kritis
ITSec

Cyber-Sicherheitsrisiken in Krankenhäusern

Video-Interview: Cyber-Versicherungen: wertvoller Schutz für Krankenhäuser
IT-Sicherheit & Kritis
Video

Video-Interview: Cyber-Versicherungen: wertvoller Schutz für Krankenhäuser

Freitags kommt der Leichtsinn: Internationale Studie untersucht Verhalten zur Cybersicherheit am Arbeitsplatz
IT-Sicherheit & Kritis
Studie

Freitags kommt der Leichtsinn: Internationale Studie untersucht Verhalten zur Cybersicherheit am Arbeitsplatz

Ausschreibungen und Fahndungstreffer 2023 deutlich gestiegen
IT-Sicherheit & Kritis
"Gegenstand der Informationstechnologie"

Ausschreibungen und Fahndungstreffer 2023 deutlich gestiegen

Loop DoS: Neuer Denial-of-Service-Angriff gefährdet Protokolle auf der Anwendungsschicht
IT-Sicherheit & Kritis
DOS

Loop DoS: Neuer Denial-of-Service-Angriff gefährdet Protokolle auf der Anwendungsschicht

Neuer Ansatz, um den Prozess der Zwei-Faktor-Authentifizierung auf Websites zu vergleichen
IT-Sicherheit & Kritis
2FA

Neuer Ansatz, um den Prozess der Zwei-Faktor-Authentifizierung auf Websites zu vergleichen

Lesen Sie hier die neuesten Beiträge

Admin-Aufgaben automatisieren, Effizienz steigern
IT-Management
Management

Admin-Aufgaben automatisieren, Effizienz steigern

Startschuss für „CVDLINK“-Projekt: Künstliche Intelligenz soll kardiovaskuläre Versorgung verbessern
Künstliche Intelligenz
CVDLINK

Startschuss für „CVDLINK“-Projekt: Künstliche Intelligenz soll kardiovaskuläre Versorgung verbessern

Krebsbehandlung: Experten schlagen geeignete spezifische Leitplanken für Einsatz und Regulierung von KI vor
Künstliche Intelligenz
GMA

Krebsbehandlung: Experten schlagen geeignete spezifische Leitplanken für Einsatz und Regulierung von KI vor

Diese Webseite verwendet Cookies.   Mehr Info.      oder