Softwareaktualisierungen und das Schliessen von Sicherheitslöchern auf den Endgeräten und Servern unserer Kundinnen und Kunden ist ein wichtiger Teil unserer täglichen Arbeit. Wie wir Patches und Updates nach Dringlichkeit bewerten, wie wir bei der Installation vorgehen und warum wir bei Server-Patches erstmal abwarten und beobachten, das verraten wir in diesem Blog.
Inhaltsverzeichnis
Wieso macht mein Computer immer Updates?
Jede Software hat Schwachstellen, die durch Patches behoben werden können. Die Anzahl der Schwachstellen nimmt von Jahr zu Jahr zu, wie die nachfolgende Grafik zeigt (CVE steht für Common Vulnerabilities and Exploits).
Wir analysieren im Hintergrund alle relevanten Schwachstellen und entscheiden, ob wir die entsprechenden Patches im normalen Zyklus installieren oder ob wir diese Patches vorziehen müssen. Gerade bei sehr kritischen oder aktiv ausgenutzten Schwachstellen entscheiden wir uns, diese Patches schneller zu verteilen und auf die Endgeräte zu pushen. 
Die meisten Patches werden veröffentlicht, wenn sie fertig sind. Es gibt aber auch Firmen wie bspw. Microsoft, die ihre Patches an einem bestimmten Tag veröffentlichen. Bei Microsoft ist das der zweite Dienstag im Monat, der sogenannte "Patch Tuesday", an dem die meisten Updates veröffentlicht werden. Kritische Sicherheitsupdates können auch an einem anderen Tag veröffentlicht werden.
Da Patches täglich veröffentlicht werden können, überprüfen wir sie diese Patches auch täglich darauf, welche vorgezogen werden müssen und welche wir normal installieren können.
Welche Updates werden vorgezogen?
Jeden Tag überprüfen wir die neu veröffentlichten Schwachstellen, um zu sehen, ob wir Updates sofort installieren müssen oder ob wir sie im normalen Zyklus installieren können. Jede Schwachstelle hat eine Bewertung, wie kritisch sie ist. Diese Bewertung heisst CVSS-Score und geht von 1 bis 10, wobei Schwachstellen ab einem Wert von 9,0 als kritisch gelten.
Diese kritischen Schwachstellen werden bei uns intern von den Mitarbeitenden des SOC und den Betriebsteams täglich beim Auftreten von Schwachstellen oder spätestens am Patch Tuesday überprüft.
Gemeinsam erarbeiten die Teams einen Plan, welche Updates normal installiert werden und welche vorgezogen werden.
Wie werden Updates auf Clients installiert?
Im Rahmen des first endpoint update-Service kümmern wir uns um die Sicherheit von Notebooks und PCs. Dabei kontrollieren wir nicht nur die klassischen Windows Updates von Microsoft, sondern kümmern uns auch aktiv um die Absicherung von Drittanwendungen (wie bspw. Adobe Reader, Google Chrome, etc.).
Gerade weil direkt auf diesen Geräten gearbeitet wird, sind einerseits viele Programme installiert und damit viele Schwachstellen vorhanden. Andererseits gibt es viele Möglichkeiten, diese Schwachstellen auszunutzen, etwa weil jemand versehentlich auf einen Link in einer Phishing-Mail geklickt hat. Daher ist es besonders wichtig, dass Patches auf diesen Geräten zeitnah installiert werden.
Alle Patches werden gestaffelt über verschiedene Update-Ringe an die Geräte verteilt. Die Updates in Ring 1 sind die Testgruppe und werden am Tag nach der Veröffentlichung installiert. Welche Geräte zu welchem Ring gehören, definieren wir gemeinsam mit unseren Kundinnen und Kunden.
Windows Updates werden im Hintergrund installiert und der Benutzer erhält lediglich eine Meldung, dass er sein Gerät neu starten soll. Den Zeitpunkt des Neustarts kann der Benutzer selbst bestimmen. Ganz ähnlich werden auch die Anwendungen von Drittanbietern aktualisiert.
Auch hier gibt es jeweils drei Update-Ringe und auch diese werden zeitversetzt zur Verfügung gestellt. Die Installation erfolgt jedoch nicht immer im Hintergrund, da der Kunde meist aktiv mit den Anwendungen arbeitet und bspw. gerade ein PDF geöffnet hat.
Ist dies der Fall, werden die Kunden zum Schliessen von Programmen aufgefordert, damit die Installation durchgeführt werden kann.
Wie werden Updates auf Servern installiert?
Für Kunden mit first care advanced, first care full oder Managed Server kümmern wir uns unter anderem auch um die Absicherung der Windows Server Systeme. Da die Verfügbarkeit der Server sehr wichtig ist, gehen wir beim Einspielen von Patches etwas vorsichtiger vor.
Die Patches schliessen Sicherheitslücken, können aber auch Nachteile in Bezug auf die Stabilität der Systeme mit sich bringen und wir wollen erst die Situation auf dem Markt beobachten, bevor wir Updates installieren. Es ist schon vorgekommen, dass ein Hersteller ein Update plötzlich wieder zurückgezogen hat.
Ab dem 3. Montag im Monat installieren wir die Updates auf einer kleinen Anzahl von Testsystemen. In dieser Phase prüfen wir automatisiert, aber auch manuell, ob die Updates Probleme verursachen oder nicht. Ist diese Phase erfolgreich, werden die Updates in verschiedenen Wartungsfenstern (in der Regel eine Woche nach dem Testlauf) auf unseren Kundensystemen und internen Produktivsystemen installiert.
Bei einer erhöhten Bedrohungslage (CVSSv3 - 9 oder höher) werden unsere first care full & Managed Server Kunden von uns proaktiv kontaktiert. Im Rahmen dieses Vertrages schliessen wir diese Lücken auch ausserhalb der geplanten Wartungsfenster. Dies bedeutet für diese Kunden ein erhöhtes Schutzniveau.
.png?width=1387&height=433&name=Patchmanagement%20(2).png)
Fazit
Die Sicherheit unserer Kundschaft steht für uns an erster Stelle. Zu unseren umfassenden Dienstleistungen gehört die Absicherung der Systeme - eine zentrale Aufgabe, die wir mit höchster Sorgfalt und Präzision ausführen. So können Sie sich voll und ganz auf ihre Kernkompetenzen konzentrieren, während wir Networkers im Hintergrund für Sicherheit und Stabilität sorgen.
