Effektive Strategien für den Mittelstand

Feature | 19. Dezember 2003 von admin 0

In den meisten Unternehmen wird das Einspielen von Software-Patches traditionell eher lax gehandhabt. Daher sieht die Herangehensweise an das Problem oft sehr unterschiedlich aus. Im Wesentlichen scheint es zwei Denkrichtungen zu geben: Während manche Unternehmen sich bemühen, so viele Patches wie nur möglich zu installieren, legen andere mehr oder weniger die Hand in den Schoß und schreiten erst dann zur Tat, wenn sie bereits einem Sicherheitsangriff zum Opfer gefallen sind. Großunternehmen sind wegen der Anzahl und Komplexität ihrer Computersysteme in der Regel am stärksten von den Problemen des Patch-Managements betroffen. Doch auch kleine und mittelständische Unternehmen müssen der Tatsache ins Auge blicken, dass sie ebenfalls betroffen sind.
Würmer wie Code Red, Nimda, Slammer oder Blaster haben auf Computersystemen rund um den Globus ein Chaos angerichtet. Da SMBs oft mit Microsoft-Systemen arbeiten, sind sie von Natur aus verwundbar und müssen eine proaktive Patch-Management-Strategie für diese Systeme und die Systeme anderer Hersteller ergreifen. Auch wenn SAP-Systeme weniger anfällig für Sicherheitslücken sind als andere, bietet SAP seinen SMB-Kunden doch Empfehlungen für das Patch-Management sowie spezielle Werkzeuge zur Rationalisierung des Prozesses an.

Herausforderung Patch-Management

Laut Miho Emil Birimisa, SMB-Produktmanager bei SAP, gibt das Unternehmen die Patches für seine SMB-Produkte einige Male im Jahr heraus. „Im SMB-Markt stellt das Patch-Management eine echte Herausforderung dar. Denn in der Regel muss man wertvolle Zeit, die man eigentlich in sein Geschäft stecken will, dafür investieren, dass die Software wunschgemäß läuft. Patch-Management ist für kleine und mittelständische Unternehmen grundsätzlich wegen seiner Komplexität von Belang: Welche Auswirkungen haben die Patches innerhalb der gerade laufenden Lösungen? Wie viel Zeit muss ich vorweg einplanen, damit nach dem Einspielen eines bestimmten Patches noch alles genauso funktioniert wie vorher?“
Laut Empfehlung von Birimisa sollten die Vertriebspartner von SAP zusammen mit ihren Kunden eine holistische Patch-Management-Strategie erarbeiten und umsetzen, die – abhängig von der Lösung beim Kunden – sowohl SAP-Produkte als auch die Produkte anderer Softwarehersteller umfassen kann. „SAP hilft diesen Partnern und Kunden durch eine vierteljährliche Bündelung spezieller Patches zu so genannten Support-Stacks. Diese Stapel enthalten logische Kombinationen von Patches, die in den meisten Fällen bereits auf dem Markt zu finden sind. Diese gebündelten Support-Stapel verringern die Komplexität“, so Birimisa.
„SAP stellt die Patches über eine Online-Plattform zur Verfügung. Doch erst in der Beziehung zwischen dem Kunden und dem SAP-Partner wird entschieden, was wirklich eingespielt wird und was nicht. Wir lassen unsere Partner und unsere Kunden also nicht blindlings in jedes verfügbare Support-Paket laufen. Die SAP-Partner treffen die Entscheidung, welche Kombination sie ihren Kunden geben“, so Birimisa weiter.
SAP verfügt zudem auch über verschiedene Instrumente beziehungsweise Mechanismen zur Unterstützung seiner Kunden beim Patch-Management. So steht zum Beispiel der SAP Notes Assistant als Teil des mySAP-Business-Suite-Portfolios für die mySAP-All-in-One-Lösung zur Verfügung. Dieser Assistent automatisiert das Einspielen von Support-Paketen und stellt gleichzeitig durch doppelte Überprüfung bestimmter Abhängigkeiten und der für das Einspielen erforderlichen Voraussetzungen sicher, dass das gewünschte Endergebnis erzielt wird.
„Die SAP Hot News, SAP Top Notes und SAP FAQ Notes sind unsere Mechanismen, mit denen wir Kunden über die Relevanz und Wichtigkeit bestimmter Patches informieren, die eingespielt werden müssen“, so Birimisa. Er empfiehlt Kunden, beim Patch-Management grundsätzlich „ganzheitlich zu denken. Treten Sie mit einem Partner in Beziehung, damit Sie ein starkes Angebot haben, mit dem Sie arbeiten können. Denken Sie holistisch über Datenbanken, Server, Client-Anwendungen und über ihr Geschäft nach, nicht nur über die Technologie. Denken Sie auch an die Sicherheit, wenn Sie bestimmte Patches einspielen: Ist dies eine vertrauenswürdige Quelle, welche Auswirkungen hat dieser Patch, und sollte ich ihn wirklich in mein eigenes Netzwerk einspielen?“, so Birimisa weiter.

Viele Wege führen zum Ziel

Microsoft hat seinen Patch-Verteilungsdienst vor kurzem umgestellt und bündelt Patches aus Rationalisierungsgründen zu monatlichen Ausgaben. Patches für kritische Sicherheitslücken werden allerdings nach wie vor sofort freigegeben. Hierdurch soll die Belastung der IT-Administratoren verringert und ein höheres Maß an Vorhersagbarkeit erreicht werden, so dass Patch-Installationen künftig besser gemanagt werden können.
Laut Mark Shavlik, Gründer und CEO des Unternehmens Shavlik Technologies, das SMBs Sicherheitslösungen für Microsoft-basierte Systeme anbietet, ist es für Unternehmen schlicht und ergreifend zu kompliziert und zu zeitaufwändig, Patches manuell zu installieren. „Alleine festzustellen, welche Patches eigentlich notwendig sind und wie diese installiert werden, ist sehr kompliziert. Die meisten Unternehmen haben deshalb bisher gar nichts gemacht“, so Shavlik.
Shavlik Technologies ist eines von mehreren Unternehmen, die Scanning-basierte Werkzeuge für das Patch-Management anbieten. Scanning-basierte Produkte gelten als besser geeignet für SMBs, da sie weniger komplex sind. Derartige Scanning-Systeme ermitteln, wo Patches benötigt werden und installieren diese automatisch. Zu den Anbietern zählen neben Shavlik auch St. Bernard Software, Gravity Storm und Ecora. Systemmanagement-Anbieter, wie beispielsweise Alteris und LANdesk, integrieren ebenfalls Patch-Management-Module in ihre Lösungen.
Als Ausgangspunkt empfiehlt Jan Sundgren, Branchenanalyst bei Giga Research/Forrester Research, kleinen und mittelständischen Unternehmen, es mit den Patching-Diensten von Microsoft zu versuchen. „Oft genügt das Angebot von Microsoft. Bei wirklich kleinen Unternehmen könnte schon ein Windows-Update ausreichend sein. Bei etwas größeren Unternehmen kommt der Microsoft-Software-Update-Service in Frage. Wenn Sie mit einem Händler arbeiten möchten, sollte der erste Ansatz ein Scanning-basierter Anbieter sein“, rät Sundgren.
Mark Shavlik rät den Unternehmen, eine Strategie zu verfolgen, bei der zuerst auf Führungsebene eine Genehmigung eingeholt wird, um das Ausmaß des Problems im Netzwerk abzuschätzen. Danach sollte die Zuständigkeit für das Einspielen der Patches auf eine bestimmte Person übertragen werden.
Zur Bestimmung der Problemschwere kann das Netzwerk mit Hilfe eines Werkzeugs gescannt werden, das die „Patch-bedürftigen“ Computer ermittelt und die zu installierenden Patches nach Priorität ordnet. „Wenn man erst einmal eine vernünftige Patch-Grundlinie hat, kann man sich zum Beispiel eine 60-Tage-Frist setzen, um alle kritischen Patches auf allen Computern einzuspielen. Danach muss man einen kontinuierlichen Plan haben, der dafür sorgt, dass die Mitarbeiter Zeit und Gelder für das zeitnahe Patching ihrer Systeme erhalten“, so Shavlik.

Elspeth Wales

Elspeth Wales

Tags: ,

Leave a Reply