McAfee, einer der führenden auf Sicherheitstechnologien spezialisierten Anbieter, hat eine neue Studie vorgestellt, die Aufschluss darüber gibt, in welchem Ausmaß Unternehmen den Schutz vor Sicherheitsbedrohungen vernachlässigen. Fast die Hälfte der Befragten (45 Prozent) gab darin an, dass ihre IT-Infrastruktur niemals hundertprozentig vor Risiken durch Software- und Netzwerkschwachstellen sicher ist. Im Rahmen der Studie befragten die Analysten über 600 IT-Entscheider aus europäischen Unternehmen mit mehr als 250 Mitarbeitern. Ziel war es dabei herauszufinden, welchen Ansatz Unternehmen beim Patch-Management – als eine der größten Herausforderungen für die IT-Sicherheit von Unternehmen – verfolgen. Dabei kamen folgende Ergebnisse zu Tage:
- Mehr als ein Viertel (27 Prozent) der Befragten gaben an, dass es mindestens 48 Stunden dauert, bis die IT-Infrastruktur nach dem Erscheinen eines neuen Patches vollständig vor der entsprechenden Bedrohung geschützt ist. Bei knapp einem Fünftel (19 Prozent) zieht sich dieser Zeitraum sogar über eine Woche oder länger hin.
- Über ein Drittel (36 Prozent) der europäischen Unternehmen haben keinen Überblick darüber, wie viele Patches in einem halben Jahr aufgespielt werden.
- 58 Prozent der befragten IT-Verantwortlichen wissen nicht, wie viel die Patch-Verteilung ihr Unternehmen kostet
- Ein Fünftel (20 Prozent) der IT-Spezialisten verbringt täglich eine Stunde ihrer Arbeitszeit oder mehr mit dem Identifizieren von Sicherheitslücken und der Patch-Verwaltung.
- 45 Prozent der Befragungsteilnehmer definieren keine Prioritätenliste, die festlegt, welche Geschäftsbereiche bei der Installation von Patches zuerst berücksichtigt werden.
Diese Ergebnisse belegen, dass das Patch-Management für große Unternehmen eine echte Herausforderung ist. Dies gilt insbesondere dann, wenn man den Gesamtkontext berücksichtigt und Faktoren wie schneller wirkende und ausgefeiltere IT-Bedrohungen sowie größere und komplexere IT-Systeme als früher mit in die Überlegungen einbezieht. In der Zeit, die anfällt, um einen erschienenen Patch im Unternehmensumfeld zu verteilen, bleibt ein Unternehmen anfällig für ausgenutzte Sicherheitslücken, Ausfälle im großen Stil, Produktivitätsverluste sowie dem damit verbundenen Rückgang des Kundenvertrauens.
Ein zeitraubender Vorgang
Die Verteilung von Patches in Unternehmensnetzen stellt eine komplizierte Angelegenheit dar. Es kann Tage dauern, bis ein Patch untersucht, getestet und installiert wird. Die neue McAfee-Studie macht den Bedarf an Personalressourcen, die für die Patch-Verwaltung zum Einsatz kommen, deutlich. Wie bereits erwähnt, gaben 20 Prozent der Befragten an, mindestens eine Stunde täglich mit der Untersuchung von Patches und Schwachstellen zu verbringen. In Italien liegt die genannte Zahl mit 31 Prozent besonders hoch, in Deutschland beträgt sie immerhin 24 Prozent. Europaweit gesehen, wendet ein Zehntel der IT-Verantwortlichen 240 Arbeitsstunden pro Jahr zur Analyse von Sicherheitslücken auf. Das entspricht fünf Arbeitswochen.
Das "Window of Vulnerability" wächst ständig
Die Zeit, die zwischen der Veröffentlichung eines Patches und dem Einspielen desselben auf allen Rechnern im Unternehmensnetz vergeht, nennt sich auch "Window of Vulnerability", da die Unternehmensinfrastruktur während dieser Zeit Angriffen gegenüber offen ist. In Europa beträgt dieses Window of Vulnerability bei mehr als einem Viertel der Befragten mindestens 48 Stunden. Für knapp ein Fünftel (19 Prozent) liegt diese Zahl sogar bei einer Woche oder mehr. Insgesamt gesehen ist das Window of Vulnerability in Frankreich am größten. Dort gaben mehr als ein Viertel der Teilnehmer der Untersuchung (27 Prozent) an, dass sie mindestens eine Woche benötigen würden, um die Patches auf ihren Systemen zu installieren.
Patch-Management verursacht steigende Kosten
Überraschenderweise brachte die Studie zu Tage, dass viele IT-Verantwortliche keine Ahnung davon haben, wie viele Patches sie verteilen und wie hoch die Kosten dafür sind. Die Gesamtsumme der Patches ist derart angestiegen, dass mehr als ein Drittel (36 Prozent) der Befragten keine Angabe zu konkreten Zahlen für einen Sechs-Monats-Zeitraum machen konnten. 58 Prozent der Befragungsteilnehmer hatten keine Vorstellung davon, wie viel der Patch-Prozess ihre Unternehmen kostet. IDC sagt voraus, dass der europäische Patch-Management-Markt im Jahr 2010 ein Volumen von 88 Millionen US-Dollar erreichen wird (Quelle: Western European Security & Vulnerability Management Software Market, IDC). Im Rahmen der Analyse wurde gleichzeitig deutlich, dass die meisten Unternehmen davon ausgehen, dass sie dem Patch-Management in Zukunft mehr Ressourcen zur Verfügung stellen müssen. Mehr als die Hälfte der an der Studie mitwirkenden Personen (54 Prozent) erklärten, dass sie ihre Kapazitäten in diesem Bereich erweitern würden. Deutschland führt hier mit 68 Prozent an Investitionswilligen.
Den Schutz priorisieren
Unternehmen sind heute dazu gezwungen, eine Patch-Management-Strategie zu implementieren, die gleichermaßen die zunehmend trickreicher werdenden Bedrohungen für IT-Umgebungen und die limitierten IT-Ressourcen berücksichtigt. Im Zentrum dieses Ansatzes sollte die Identifizierung der geschäftskritischen Datenbestände stehen, gefolgt von einer Priorisierung der Ressourcen, damit die zuvor definierten wichtigsten Aktivposten zuerst geschützt werden. Die Untersuchung von McAfee kommt zu dem Ergebnis, dass die europäischen Unternehmen diese Strategie immer mehr übernehmen. So gaben bereits 45 Prozent der Befragten an, über bestimmte priorisierte Geschäftsbereiche zu verfügen, in denen sie die Patches zuerst verteilen. Gleichzeitig zeigt die Studie aber auch, dass ein wesentlicher Teil der Unternehmen ihre Kapazitäten nicht darauf fokussiert, die wichtigsten Bereiche vor Schwachstellen zu schützen. Die Unternehmen sollten in Zukunft dazu übergehen, einen priorisierten Patch-Management-Prozess mit proaktiven Lösungen zur Abwehr von Bedrohungen zu verbinden. Letztere schützen das Netzwerk sowohl vor bekannten als auch vor unbekannten Gefahren und sorgen so dafür, dass die Unternehmen genug Zeit für die Analyse und die Verteilung der Patches erhalten.
Das Patch-Management spielt nicht zuletzt deshalb eine so große Rolle, weil es gewaltige Auswirkungen auf das Einhalten staatlicher Vorschriften wie Sarbanes Oxley, HIPPA und MiFID haben kann. Gelingt es einem Unternehmen nicht, seine Systeme mit den aktuellsten Patches abzusichern, so können daraus ernste Implikationen entstehen. In Europa hat die Studie ergeben, dass die meisten Unternehmen die zur Sicherstellung der Compliance erforderlichen Maßnahmen ergriffen haben. 82 Prozent der Befragten vertrauen in dieser Hinsicht auf ihre Patch-Management-Policy.