Shopsysteme-Test

Basisschutz für Online-Shops: das Patch-Management

20. Oktober 2015
  • Shopsysteme-Test

© Torbz - Fotolia.com

Veraltete Software ist häufig das Einfallstor für Cyberkriminelle. Leider werden Updates häufig auf die leichte Schulter genommen; besonders eindrucksvoll zeigte das die Heartbleed-Lücke, die insbesondere deshalb große Angriffschancen hatte, weil Update-Müdigkeit vorherrschte. Wir klären heute die Vor- und Nachteile automatischer sowie manueller Updates, werfen einen Blick auf Angriffsszenarien bei veralteter Software und überlegen, wie Sie bei einem Angriff vorgehen können.

Wozu sind Updates gut?

Updates, oft auch als „Hotfix“, „Patch“ oder „Service Release“ bezeichnet, halten Programme auf dem neuesten Entwicklungsstand. Oftmals erkennen Sie ein Update an der laufenden Versionsnummer, wobei man zwischen kleinen und großen Updates („Major Release“: die Hauptversionsnummer wird hochgesetzt, z. B. Version 2.3.1 auf Version 3.0.1) unterscheidet. Möchten Sie die Version Ihrer Software prüfen, finden Sie im Menü häufig unter „Hilfe“ den Punkt „Info“.

In Zeiten, in denen Software noch auf CD gekauft wurde, sah das Update-Management deutlich einfacher aus: nach der Installation hat man Software solange genutzt, bis die nächste Version verfügbar war, ohne das installierte Programm irgendwie zu ändern. Unsere heutige digitale Welt ist jedoch dauerhaft und stetig in Bewegung; statische Programme gehören der Vergangenheit an. Neueste Entwicklungen werden zeitnah bereitgestellt, was bedingt, dass auch die Ursprungssoftware wesentlich flexibler sein muss. In aller Regel kann Software Updates heute direkt aus dem Internet laden, neue im Update verteilte Technologien finden nahtlose Integration in die originale Software.

Updates erweitern in aller Regel die Funktionalität einer Software, optimieren die Sicherheit und die Performance. Sicherheitsupdates dienen dazu, vorhandene Sicherheitslücken zu schließen. Sowohl in Betriebssystemen als auch in Browsern oder sonstiger Software können Sicherheitslücken entstehen, die „gepatcht“ werden sollten, bevor Hacker mithilfe von Exploits, also kleinen Schadprogrammen, anfangen, diese Sicherheitslücken auszunutzen.

Neben diesen sicherheitsrelevanten Aspekten existiert noch ein weiterer Pluspunkt für ein gelungenes Update-Management: aus Updates geht oftmals ein Performancegewinn hervor. Technologie ist nicht mehr statisch, sondern dynamisch, und Entwickler sind ständig dabei, aktuelle Produkte weiter zu optimieren. Neue Gerätetreiber sowie Firmware-Updates sind die Folge; hier werden die optimierten Entwicklungen in die vorhandene Software integriert.

Bedrohungen wandeln sich schnell

Installieren Sie eine beliebige Software auf einem System, beinhaltet sie den Stand der Entwicklung zu der Zeit, als Programmierer die Software geschrieben haben. Technologie – und damit auch Bedrohungen – wandelt sich jedoch enorm schnell. Während Sie eine Software von gestern gerade noch installieren, haben Virenprogrammierer, Hacker oder andere Cyberkriminelle längst Sicherheitslücken gefunden, durch die Ihr System angreifbar wird. Besonders pikant ist dieser Fakt bei Sicherheitssoftware wie Ihrer Antivirensuite: selbst wenn Sie diese erst vor wenigen Monaten installiert haben, existieren bereits zahlreiche neue Angriffsszenarien und Viren, die Ihr System schädigen, schlimmstenfalls sogar unbrauchbar machen können.

Lassen Sie sich jedoch nicht von der Annahme verleiten, nur Ihre Sicherheitssoftware aktuell halten zu müssen. Bei sämtlicher Software können Sicherheitslücken zum Einfallstor für Cyberkriminelle werden. Nutzer der Shopsoftware modified eCommerce, die wir erst vor wenigen Wochen getestet haben, müssen nun beispielsweise ein Sicherheitspatch einspielen: „Wir haben eine Sicherheitslücke gefunden, die alle veröffentlichten Shopversionen von modified eCommerce betrifft. Es ist jedem zu raten diese mittels angehängtem Patch zu schließen“, warnt das modified-Team im hauseigenen Forum.

Angreifer können Ihre Daten manipulieren/ infizieren, Ihre Festplatte komplett neu formatieren oder Ihre Systemressourcen blockieren. Jedem Online-Händler ist angeraten, die sich ständig im Wandel befindlichen Bedrohungen sehr ernst zu nehmen. Dies betrifft nicht nur Software, die im Unternehmen direkt Einsatz findet, sondern auch Software, die etwa im Home-Office, Außendienstbüros oder auf privaten Endgeräten, die auch zur Arbeit verwendet werden (Stichwort „BYOD„).

Vor- und Nachteile automatischer und manueller Updates

Es existieren immer zwei Wege, um Updates zu installieren: automatisch sowie manuell eingespielte Updates. Beim automatischen Einspielen können Sie oftmals beliebte Zeitpunkte zum Installieren angeben. Hierbei macht es Sinn, Zeiten zu wählen, in denen der Betrieb eher gering ist. Bei manuellen Updates erhalten Sie für gewöhnlich eine Benachrichtigung. Zum Installieren müssen Sie selbst zwei, drei Handgriffe ausführen, können jedoch den Zeitpunkt sehr individuell bestimmen. Kritiker automatischer Updates bemängeln vorrangig die folgenden Minuspunkte:

  • automatische Updates können das System verlangsamen oder gar blockieren, was die Arbeit stören oder unterbrechen kann
  • mögliche Systemneustarts können den Betrieb aufhalten
  • Updates können Änderungen in der Bedienung des Programms mit sich bringen, was zu Einarbeitungszeiten führen kann
  • werden neue Updates automatisch eingespielt, besteht die Gefahr, dass noch Bugs entdeckt werden

Als unbedingter Vorteil automatischer Updates sei erwähnt, dass Sie nichts mehr verpassen. Es passiert leider zu häufig, dass man ein Update auf später verschiebt, dies dann jedoch vergisst oder als nicht wichtig erachtet. Automatische Updates sorgen dafür, dass Software aktuell gehalten wird, ohne dass Anwender aktiv werden müssen. Dies zeigt auch gleich den größten Nachteil manueller Updates: die Gefahr, etwas zu vergessen oder zu übersehen, ist zu groß. Klaffen Sicherheitslücken in Software, berichten häufig auch die Medien darüber. Damit sollte jedem Anwender klar sein, dass auch Cyberkriminelle von den Sicherheitslücken erfahren und diese spätestens dann verstärkt ausgenutzt werden. In der Tat kann es jedoch insbesondere bei größeren Organisationen zu Stillstand führen, wenn die Bandbreite für automatische Updates beansprucht wird.

Eine vorausschauende Planung ist hier das A und O. Verschiedene Organisationen haben verschiedene Ansprüche. Wenn Sie als Einzelunternehmer automatische Updates bevorzugen, ist das sinnvoll, wenn jedoch ein Händler mehrere hunderte Mitarbeiter zählt, kann die Bandbreite zu stark beansprucht werden. Um Software-Updates entsprechend des Unternehmens, seines Bedarfs und seiner Mitarbeiterzahl verteilen zu können, bieten sich Gruppenrichtlinienobjekte an. Über solche Verteilungsregeln gelingt es, Updates automatisch auf verschiedene Rechner im Netzwerk zu verteilen und zu installieren. Auch bei automatischen Updates haben Sie übrigens die Option, zu prüfen, was das Update überhaupt liefert. Geht es um reine Funktions-Updates, die Sie womöglich nicht benötigen, können Sie das Update ausfallen lassen. Bei Sicherheitsupdates zu disktuieren, ist jedoch kontraproduktiv – spielen Sie diese in jedem Fall ein, um Angriffe auf veraltete Software zu vermeiden!

Angriffsszenarien: was kann bei veralteter Software geschehen?

Unternehmen, die es mit dem Patchen nicht so genau nehmen, sind für Angreifer ein gefundenes Fressen! Der größte Teil aller bekannten Angriffsszenarien zielt auf jene Systeme ab, über die Sicherheitslücken bekannt sind. Dies sind auch jene Sicherheitslücken, für die Patches meist schon bereitstehen – oder zumindest alternative Lösungen. Es ist davon auszugehen, dass eine Vielzahl von Angriffen verhindert werden könnte, würden die Verantwortlichen ihre Software regelmäßig updaten. Dies betrifft nicht nur den Desktop-, sondern auch den Server- und Mobilbereich. Das Problem wird verstärkt durch die Tatsache, dass Endgeräte-Hersteller Aktualisierungen in aller Regel nur für kurze Zeit bereitstellen. Erscheint ein Nachfolgemodell, stellen die Hersteller den Support älterer Versionen ein. Wird dann eine Sicherheitslücke offenbar, wird diese nicht mehr gepatcht und stellt somit eine immense Gefahr für das veraltete Gerät dar.

Drive-by-Angriffe, die Sicherheitslücken von Browsern, Plug-ins sowie von Betriebssystemen ausnutzen, sind besonders verbreitet: der Anwender wird durch E-Mails oder Ergebnisse von Suchmaschinen auf manipulierte Websites geleitet. Die darauf befindliche Schadsoftware wird auf dem Zielrechner installiert. Ransomware zum Erpressen von Geld ist genauso denkbar wie Trojanische Pferde, um Identitäten zu stehlen oder zu missbrauchen, oder Bots zum Aufbauen von Infrastrukturen zum Versenden von Spam sowie DDoS-Angriffe. Zum Unterbinden solcher Angriffe genügt es bereits, den Browser aktuell zu halten. Mit Browser ist nicht nur die Browser-Software selbst, sondern auch Plug-ins gemeint: aktualisieren Sie auch alle Browser-Erweiterungen regelmäßig.

Der Indentitätsdiebstahl oder -missbrauch ist eine weitere Folge ungepatchter Systeme. Dabei eignen sich Cyberkriminelle personenbezogene Informationen von Verbrauchern an, wozu Anschrift, E-Mail-Adresse, Bankkonten- oder Kreditkartendaten gehören können. Zil ist es, vertrauliche Informationen zu geldwerten Vorteilen umzuwandeln. Das regelmäßige Einspielen aller relevanten Updates sowie ein effizientes Passwort-Management können dieses Angriffsszenario erfolgreich verhindern.

Blicken wir noch mal konkret auf das Angriffsszenario „Heartbleed“, das 2014 zahlreiche Unternehmen und Privatanwender in Angst und Schrecken versetzte: Die Schwachstelle wurde im April 2014 in der Softwarebibliothek OpenSSL entdeckt. Sie führte dazu, dass Speicherinhalte durch Unbefugte ausgelesen werden konnten. Dafür genügte es, eine spezielle Anfrage an das jeweilige System zu senden, das die Funktion von OpenSSL nutzte, die von der Schwachstelle betroffen war. Nahezu jeder Internetanwender nutzt SSL oder TLS – meist ohne es zu wissen. Die Softwarebibliothek OpenSSL findet weltweit riesigen Einsatz, und damit hatte die Lücke enorme Auswirkungen. Verschlüsselte Kommunikation wird auf zahlreichen Webseiten eingesetzt, wofür OpenSSL für viele Anwender die Basis bildet. Neben Benutzernamen und Passwörter, die ausgelesen werden konnten, war es zudem möglich, auch geheime Schlüssel abzugreifen. Angriefer konnten sich so als Diensteanbieter ausgeben und den Datenverkehr der Nutzer, der eigentlich verschlüsselt sein sollte, auslesen. Nachdem Heartbleed bekannt wurde, vergingen lediglich 21,5 Stunden bis zum ersten Angriff, der nachgewiesen werden konnte. Trotz der enormen Relevanz eines Patches, das durch OpenSSL zeitnah bereitgestellt wurde, sind sogar noch heute Systeme verwundbar.

Patch-Management-Lösungen

Verschiedene Hersteller offerieren unterschiedliche Patch-Management-Lösungen. Möchten Sie nicht selbst stetig ein Auge auf aktuelle Versionen Ihrer Software werfen, unterstützen solche Lösungen das Aufspüren neuer Patches. Sie werden benachrichtigt und – je nach Konfiguration – werden Updates direkt installiert. Viele dieser Lösungen können individuell auf Ihren Bedarf konfiguriert werden. Ein regelbasiertes Verteilen von Updates ist oftmals möglich. Damit die verschiedenen Tools Sie beim Erkennen ungepatchter Anwendungen unterstützen können, müssen diese jedoch immer aktuell gehalten werden. Patchen Sie also auch Patch-Hilfen!

Update-Management: Fazit

Update-Management: FazitEin gelungenes Patch-Management sorgt für ein riesiges Plus an Sicherheit Ihrer Systeme. Als Online-Händler gehen Sie oftmals mit Daten um; Kunden nennen Ihnen nicht nur Kontakt- und Adressdaten, sondern geben auch Zahlungsdaten an Sie weiter, die für Cyberkriminelle finanzielle Vorteile versprechen. Nicht nur aufgrund des neuen IT-Sicherheitsgesetzes, sondern auch zur Imagepflege ist es deshalb äußerst relevant, auf sichere Systeme zu setzen. Und dies haben Sie mit in der Hand! Verzichten Sie beispielsweise grundsätzlich auf das Verwenden von Software, bei der der Support abgelaufen ist – ein aktuelles Beispiel bildet Windows XP. Der Support dieses veralteten Betriebssystems ist längst abgelaufen, Einsatz findet es dennoch häufig, und zwar nicht nur bei Privatanwendern, sondern leider auch bei Firmen und Behörden. Beherzigen Sie unsere Handlungsempfehlungen, sind Sie bei Ihrem Update-Management bereits einen riesigen Schritt weiter und Ihr Unternehmen sicherer:

  • Überblick verschaffen: Mit welchem Betriebssystem arbeiten Sie? Welchen Browser setzen Sie ein? Erstellen Sie sich eine Liste aller verwendeten Software, inklusive Office-Paket, Dienstprogramme, Virenschutzsoftware, Medien-Software und Erweiterungen – und zwar von allen im Unternehmen eingesetzten Geräten, Servern sowie Privat-/ Mobilgeräten, wenn diese ebenfalls bei Ihnen Einsatz finden.
  • Automatische Updates bestimmen: Nachdem Sie Ihre Software-Liste mit sämtlichen Programmen und Erweiterungen erstellt haben, markieren Sie jene Programme, die regelmäßig automatisch aktualisiert werden. Als Faustregel können Sie sich merken, dass gekaufte Software in aller Regel ein Jahr technischen Support beinhaltet. Fragen Sie im Zweifel beim Software-Entwickler, wie die Grundeinstellungen ausschauen und wie Sie diese ggf. anpassen können. Programme, die übrig bleiben in Ihrer Liste, benötigen manuelle Updates. Notieren Sie sich aktuelle Versionsnummern und prüfen Sie regelmäßig, ob Updates bereitstehen. Wenn ja: spielen Sie diese ein!
  • Update-Hinweise beachten: Zugegeben: es ist nicht einfach, in Zeiten sich ständig öffnender Pop-ups die Nerven zu behalten. Jedoch kann sich darunter ein wichtiger Warnhinweis befinden. Nehmen Sie sich bitte die Zeit, kurz zu schauen, ob der Warnhinweis Relevanz für Sie hat und klicken Sie ihn nicht gänzlich unbeachtet weg. Einige mediale Services bieten auch Update-Alerts. Abonnieren Sie sich Newsletter der Software-Entwickler, nutzen Sie das Bürger-CERT des BSI sowie Brancheninformationsdienste, um sich über Updates auf dem Laufenden zu halten.
  • Patches zügig einspielen: Wenngleich Ihr Alltag stressig sein mag – nehmen Sie sich unbedingt die Zeit, Updates zu installieren. Mit dem Bekanntwerden von Sicherheitslücken stehen in aller Regel auch schon Updates bereit, um diese zu stopfen. Genauso stehen Cyberkriminelle bereit, um eben diese Sicherheitslücken auszunutzen. Seien Sie schneller, um sich zu schützen!
  • Gefälschte Updates: Leider nutzen Cyberkriminelle auch gekonntes Patch-Management aus. Gefälschte Warn-E-Mails sind mittlerweile nahezu an der Tagesordnung. Merken Sie sich bitte, dass seriöse Hersteller Updates nicht per E-Mail verteilen. Kommt Ihnen ein per E-Mail eingegangener Hinweis verdächtig vor, verzichten Sie bitte darauf, den Links in der E-Mail zu folgen oder gar Anhänge zu öffnen. Geben Sie Links manuell in Ihren Browser ein und prüfen Sie in Newstickern, ob die Entwickler wirklich ein Update veröffentlicht haben.
  • Support-Ende berücksichtigen: Updates für einzelne Produkte bieten Entwickler immer nur über gewisse Zeiträume an. Besuchen Sie Anbieterwebsites oder abonnieren Sie Newsletter, um vom Supportende bestimmter Software informiert zu werden.



0 Kommentar(e)

Schreibe einen Kommentar