Security-Saas: Software-Updating as a Service

Hacker und IT-Sicherheitsexperten liefern sich seit Jahren ein Kopf-an-Kopf-Rennen beim entdecken beziehungsweise stopfen von Sicherheitslücken. Verlierer in dem zunehmend beschleunigten Wettrennen sind oft die IT-Abteilungen, die mit dem patchen kaum noch hinterherkommen. Sicherheit als Software-as-a-Service (SaaS) kann helfen, sagt Klaus Jetter, DACH-Chef bei F-Secure, im Interview mit silicon.de.

Klaus Jetter. Quelle: F-Secure.
Klaus Jetter. Quelle: F-Secure.

silicon.de: Security-Lücken und mangelndes Updating von Unternehmensnetzen ist derzeit ein oft diskutiertes Thema. Ist die Sache mit dem Malwareschutz wirklich so kompliziert?

Jetter: Schutz gegen Viren und Malware ist natürlich zentral. Aber ein weiteres, grundlegendes Problem ist nicht die Malware selbst, sondern nicht geschlossene Sicherheitslücken, die von Hackern ausgenutzt werden. Hacker reagieren schnell, wenn solche Schwachstellen bekannt werden. Eine solche Verwundbarkeit kann zudem noch lange wirken, weil viele Anwender ihre Systeme nicht oder nur unregelmäßig updaten. Wir bei F-Secure gehen davon aus, dass etwa 83 Prozent der zehn am häufigsten entdeckten Malware-Typen durch upgedatete Software schon im Vorfeld hätten verhindert werden können.

silicon.de: Können Sie das konkretisieren?

Jetter: Ja, durchaus. Viele Unternehmen kommen ihrer Update-Pflicht nicht nach. Die größten Update-Lücken bestehen ausgerechnet bei so wichtigen und für ihr Risiko bekannten Anwendungen wie Java, Adobe Flash Player und Firefox, aber auch bei Microsoft-Technologien oder Open Office. Nur bei 13 Prozent der PC-Systeme in Unternehmen sind alle sicherheitskritischen Updates wirklich installiert. Dies sind die Ergebnisse unserer F-Secure Auswertung der Daten von rund 200.000 überwiegend in Europa installierten Arbeitsplätzen.

Der Studie zufolge fehlen bei 49 Prozent der Firmen-PCs und Laptops ein bis vier kritische Updates. Bei 25 Prozent sind fünf bis neun Updates und bei 13 Prozent sogar zehn oder mehr Updates nicht installiert. 54 Prozent der Rechner haben Lücken bei Java-Updates. 36 Prozent der Systeme hatten keinen vollständig aktuellen Adobe Flash Player. Bei 23 Prozent bestand eine Verwundbarkeit in Windows Common Controls, was die Remote Ausführung von Schadcodes erlaubt hätte.

silicon.de: Aber Software-Updating ist doch eigentlich ganz einfach…

Jetter: Leider nein. Bei Microsoft ist die Situation relativ übersichtlich. Aber ganz anderes sieht es bei 3rd-Party-Anwendungen aus, die Updates unregelmäßiger ausliefern. Ein händisches Aktualisieren von Software ist für große Unternehmensnetzwerke schon sehr aufwändig, kleiner Unternehmen sind da fasst zum Scheitern verurteilt. Das rechtzeitige vollständige Ausrollen aktueller Softwareupdates im ganzen Unternehmen lässt sich nur durchführen, wenn dieser Prozess zentral geregelt und überwacht wird. Für viele Unternehmen ist es da oft am besten, wenn dieser Prozess als Software-as-a-Service ausgelagert wird.

silicon.de: Wo genau hakt es in der Praxis?

Jetter: Viele, aber auch nicht alle Hersteller bieten zwar in der Tat mit einem geregelten Update-Zyklus wertvolle Hilfestellungen, dennoch gibt es auch hier immer wieder Probleme. Nicht selten müssen zudem gerade sicherheitskritische Updates außerplanmäßig eingespielt werden. Das Hauptproblem ist allein schon die Masse an Updates und die Tatsache, dass jeder Softwareanbieter seine eigenen Update-Zyklen fährt.

Solche Aufgaben müssen dann aber auch entsprechend geplant werden, damit sie nicht mit anderen Wartungsprozessen kollidieren und somit die Performance beeinträchtigen. Oft sind auch gerade sicherheitskritische Updates nicht selbsterklärend. Wer hat aber bei allein 70 Microsoft-Sicherheitsupdates im Jahr schon Zeit für ein Webinar oder für die Klärung von Detailproblemen oder Netzverbindungsproblemen?

silicon.de: Sie raten deshalb zu einem SaaS-basiertem Update-Service. Ein Problem dürfte hier die hohe Belastung für die Performance sein…

Jetter: Ein SaaS-Update-Dienst stellt das Aktualisieren von Betriebssystemen und Applikationen in einem Unternehmen jederzeit sicher. Proaktiv erfolgt der Scan der Kundenrechner auf eventuell schon installierte sicherheitsrelevante oder andere Updates sowie auf installierte Service Packs. Ein Scan Updater unterscheidet nach erfolgter Einrichtung in Folge zwischen sicherheitskritischen, wichtigen und weniger wichtigen Updates. Die Verwaltung der Updates und der gewünschten Einstellungen erfolgt beim Sicherheitsdienstleister zentral auf einem Bildschirm. Je nach Bedarf können Gruppen von Rechnern oder auch einzelne Geräte upgedatet werden.

Um die Performance des Unternehmensnetzwerks nicht mit unnötigen Updates zu belasten, bleibt dieses automatische Aktualisieren nur sicherheitsrelevanten Patches vorbehalten. Auch lässt sich der Zeitintervall eines Scans und der automatischen Einspielung der neuen Version festlegen.

Spezielle Probleme werden im Rahmen einer Problemlösungshilfe angezeigt. Update-Lösungen geben so etwa an, ob eine fehlerhafte Verbindung mit dem Netz, einem Proxie oder der Hersteller-Website die Ursache war und verweist auf Client-Protokolle, falls eine Installation nicht gelang.

silicon.de: Vielen Dank für das Gespräch!

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de