Home → Servicewelten → Tipps und Tricks zum Thema Patchen: Ob es wirklich nötig ist, jeden Patch einzuspielen
„Muss ich denn wirklich jeden Patch einspielen?“ Das ist wohl eine der häufigsten Fragen, die wir von unseren Kunden gestellt bekommen. Zugegeben, das Patchen von Datenbanken ist sicher nicht die schönste Aufgabe für dich als IT-Verantwortlichen. Aber es ist nun mal eine durchaus wichtige Aufgabe, denn du schließt damit kritische Sicherheitslücken in diversen IT-Produkten. Und das Schöne ist: Die meisten Patches werden von den Herstellern nicht überraschend veröffentlicht, sondern in einem regelmäßigen und planbaren Turnus. Das Wartungsfenster lässt sich also in der Regel gut planen.
Wir haben bei unserem Projekt- und Service Delivery Manager Kai nachgefragt, was er zu dem Thema meint. Er erzählt, wie die Einstellung seiner Kunden diesbezüglich ist und was er seinen Kunden rät.
Kai
Projekt- und Service Delivery
Manager bei ASPICON
„Grundlegend orientieren wir uns an der Empfehlung der jeweiligen Hersteller. D.h. im Falle von Oracle Datenbanken an denen von Oracle und im Falle von MS SQL Server Datenbanken an denen von Microsoft.“, so Kai auf die oben gestellte Frage. Die Hersteller geben die Empfehlung mit und diese lautet ganz klar: Jeder Patch sollte möglichst zeitnah eingespielt werden. Als langjähriger Dienstleister im Bereich Datenbanken und Infrastrukturen wissen wir allerdings, dass das Einspielen von Sicherheitsupdates immer mit einem gewissen Aufwand sowie mit Kosten verbunden ist. Auch wenn sie natürlich einem essenziellen Zweck dienen: Nämlich der langfristigen Aufrechterhaltung und Sicherstellung der Verfügbarkeit deiner IT-Umgebung.
Daher betrachten wir unsere Kunden sehr individuell und geben gezielte Empfehlungen ab: „Jeder Patch wird im Vorfeld von einem unserer Techniker geprüft, da nicht alle Kunden auch alle Produkte und Module im Einsatz haben, die gepatcht werden müssen. Hier gibt es große Unterschiede zwischen den Editionen und den vom Kunden eingesetzten Produkten. Manche Patches können ggf. nur für Cloud Control Kunden wichtig sein. Andere wiederum, wie z.B. im Bereich WebLogic, enthalten in der Regel immer wichtige Updates für nahezu alle Kunden. Das liegt daran, dass hier viele Webserversysteme und Module besonders im Windows-Umfeld betroffen sind.“, führt Kai weiter an.
Laut Kai ist zu spüren, dass das Thema Patchen mehr und mehr in den Fokus unserer Kunden rückt. Außerdem ändert sich die Einstufung hinsichtlich der Zuständigkeit. Meist landet es nicht mehr nur auf den Tischen der Technikabteilung, sondern geht auch an die IT-Leitung oder gar Geschäftsführung. Denn die Sicherheitsupdates erfordern natürlich organisatorisch einiges an Aufwand: „Es sind ggf. Anpassungen im Testsystem nötig, Downtimes sowie Termine müssen abgestimmt und Kosten freigegeben werden. Es steht und fällt also mit der Qualität der Vorbereitung. Je routinierter das Patchen abläuft, umso weniger Aufwand und Kosten verursacht es.“, gibt Kai aus seiner Erfahrung der letzten Jahre preis.
Bei unseren Kunden mit Consultingpaketen, Fully Managed Service und Abrechnung über Service Desk ist zumindest der kaufmännische Part bereits abgedeckt. Beim Großteil unserer Kunden kennen wir außerdem die Anforderungen und Zeitfenster für Updates. Dementsprechend können wir passende Termine anbieten. Meist sind die Downtimes auch nahezu gleich, was das Ganze sehr gut planbar macht.
Auf die Frage, ob es eine spürbare Veränderung der Priorisierung von Sicherheitsupdates innerhalb der vergangenen Jahre gibt sagt Kai: „Ja, definitiv! Noch vor zwei Jahren wurden Sicherheitspatches als weniger wichtig angesehen – nach dem Motto: „Es wird schon nichts passieren“. Die in letzter Zeit ständig präsenten Meldungen zu diversen Sicherheitslücken und Angriffsszenarien führen de facto zu einer stärkeren Sensibilisierung der IT-Verantwortlichen. Ausreden wie „Wir haben kein Budget / keine Zeit“ oder „Wir können uns keine Downtimes leisten“ oder „Das haben wir schon immer so gemacht“, werden glücklicherweise deutlich weniger.”
Darüber hinaus ist das Thema Patching ein elementarer Bestandteil der Anforderungen des BSI an den IT Grundschutz. Vor allem für Unternehmen aus dem KRITIS-Umfeld gilt dies in besonderem Maße. Klar kostet das Patchen von Systemen Zeit und Geld. Aber im Falle einer Kompromittierung in Verbindung mit dann meist noch viel längeren Downtimes, Produktionsausfällen oder gar Datenverlust wird der Aufwand um ein Vielfaches höher. Zumal die IT-Strukturen in Unternehmen zunehmend komplexer werden und der Wiederaufbau immer länger dauert.
Mit einer gut abgestimmten und bestenfalls standardisierten Herangehensweise an das Einspielen von Sicherheitsupdates reduzieren sich Kosten und Aufwand erheblich. In jedem Falle lohnt sich die genaue Betrachtung jedes einzelnen Patches in Verbindung mit der vorherrschenden IT-Umgebung. Wenn du feststellst, dass mit dem Update kritische Sicherheitslücken in einem oder mehreren deiner eingesetzten IT-Produkte geschlossen werden, solltest du den Patch in jedem Falle zeitnah einspielen. Denn jede – wenn auch vermeintlich noch so kleine – Sicherheitslücke kann dazu führen, dass du dich angreifbar machst.
Lass dich am besten heute noch auf unserer Patchliste eintragen. Dann informieren wir dich immer rechtzeitig über die für dich wichtigen Updates und nehmen in Abstimmung mit dir alle nötigen organisatorischen Maßnahmen im Vorfeld vor.
Patch-Hotline: +49.371.909515–100
Hier findest du weitere Infos zu den vergangenen und aktuellen Patch Updates aus unserem News und Insights Bereich.
Share this article