Die unabhängige IT-Sicherheits-Plattform - Der Marktplatz IT-Sicherheit

powered by

Institut für Internet-Sicherheit

Betriebssystemupdates und IT-Sicherheit

Leitfrage: Wer installiert die Updates?

Durch Betriebssystemupdates werden oft Fehler behoben und Sicherheitslücken geschlossen. Der letzte Punkt ist hierbei wichtiger. Diese Sicherheitslücken können, wenn sie von Angreifern ausgenutzt werden, nicht selten zu einer Kompromittierung des Unternehmensnetzwerks oder der Kompromittierung einzelner Systeme führen.
Aus diesem Grund werden Softwareupdates auch als einer der Grundpfeiler der IT-Sicherheit bezeichnet.  Es ist sehr wichtig, die Updates zeitnah zu installieren, da ansonsten schwerwiegende Sicherheitslücken potenziell ausnutzbar wären.
Wenn die Verantwortung der Installation des Updates bei den Benutzern liegt, werden diese oft vernachlässigt, da Sicherheitsupdates oft nur als lästig und notwendiges Übel angesehen wird. Aus diesem Grund empfiehlt es sich eine Softwareverteilung einzusetzen, die die Updates an mehrere Systeme ausrollen kann. Eine weitere Möglichkeit z. B. bei Windows ist es, die Installation der Betriebssystemupdates über eine Gruppenrichtlinie zu konfigurieren, so wird das Update nach einer gewissen Zeit automatisch installiert.
  • Verbesserung der Sicherheit
  • Fehlerbehebung
  • Schutz vor der Ausnutzung von Sicherheitslücken
Software-Updates Betriebssystemupdates/Softwareupdates installieren

How To

Beim Thema Betriebssystemupdates gibt es diverse Punkte zu beachten.

Die Verantwortung ist ein wichtiges Thema bei der Installation der Patches. Fühlt sich niemand verantwortlich für ein System, kann es mitunter vorkommen, dass das System gar nicht gepatcht wird, weil der eventuell Verantwortliche denkt, ein anderer Mitarbeiter ist verantwortlich. Dieser andere Mitarbeiter denkt ebenfalls, dass wer anderes zuständig ist, bis das System schlussendlich beim Patchen vergessen wird.

Aus diesem Grund sollte für jedes System ein Verantwortlicher benannt werden, der sich darum kümmert, die Updates auf dem jeweiligen System zu installieren, sobald diese zur Verfügung stehen.

Die verantwortliche Person sollte des Weiteren regelmäßig das Internet nach potenziellen Sicherheitslücken durchsuchen. Das CERT des BSI ist hierbei ein guter Anlaufpunkt. Hier werden regelmäßig bekannt gewordene Schwachstellen veröffentlicht. Es ist dabei möglich, diese nach dem Produktnamen zu filtern.

Wenn das Betriebssystem eine Autoupdate Funktion anbietet, sollte geprüft werden inwiefern, diese benutzbar ist. Beispielsweise ist diese nicht nutzbar, wenn eine Festplattenverschlüsselung verwendet wird, bei der eine Pre Boot Authentication verwendet wird. Hierbei wird der Benutzer nach einem Neustart aufgefordert einen 2. Faktor in Form einer Smartcard in Kombination mit einer PIN zu präsentieren.

In dieser Situation kann es vorkommen, dass beispielsweise Windows nach einem Update neu startet, der Benutzer jedoch nicht anwesend ist, da er lediglich von Zuhause auf dem System eingeloggt ist. In diesem Fall wäre es besser, das automatische Updaten zu deaktivieren und die Verantwortung der Installation der Updates, dem Benutzer zu übergeben.

Es sollten Richtlinien erstellt werden, dass die Mitarbeiter dazu verpflichtet sind auf dem System, welches durch sie verwendet wird, die Betriebssystem Updates mindestens 5 Tage nach erscheinen zu installieren.

Werden durch das Update kritische Sicherheitslücken geschlossen, so kann es auch vorkommen, dass selbst die 5-Tage-Frist zu lang ist. In diesem Fall ist dies kurzfristig zu kommunizieren.

Microsoft beispielsweise veröffentlicht die Windows Updates monatlich am 2. Dienstag im Monat.
So ist es häufig möglich, die Installation der Updates im Vorfeld zu planen, sodass die Updates möglichst schnell installiert werden können.

Sollte ein System keine Betriebssystemupdates mehr bekommen, befindet es sich außerhalb des Supports. Da durch Updates oft Sicherheitslücken geschlossen werden und diese Sicherheitslücken aufgrund der fehlenden Updates auf dem System nun ausnutzbar wären, ist das betreffende System nicht mehr zu verwenden.

Es gibt 2 Möglichkeiten. Sollte das System, das Neuere noch unterstützen, so kann dies auf die neue Version angehoben werden. Ist dies nicht möglich, muss das System unbedingt ausgetauscht werden, da ungepatche Systeme ein hohes Sicherheitsrisiko darstellen.

Zur Nachverfolgbarkeit ist es wichtig, die Installation der Updates auf den wichtigsten IT-Systemen zu dokumentieren. Dies ist in einem Änderungs- und Wartungsprotokoll festzuhalten. Ebenfalls sind dort Änderungen einzutragen. Beispielsweise das Austauschen eines TLS Zertifikats eines Servers.

So ist nachvollziehbar, welchen Update Stand welches System hat. Des Weiteren sind alle relevanten Änderungen am System dokumentiert und können von einem Außenstehenden nachvollzogen werden.

Quellen

Marktplatz IT-Sicherheit