News zu Servicewelten

Tipps und Tricks zum Thema Patchen: Ob es wirklich nötig ist, jeden Patch einzuspielen

„Muss ich denn wirklich jeden Patch einspielen?“ Das ist wohl eine der häufigsten Fragen, die wir von unseren Kunden gestellt bekommen. Zugegeben, das Patchen von Datenbanken ist sicher nicht die schönste Aufgabe für dich als IT-Verantwortlichen. Aber es ist nun mal eine durchaus wichtige Aufgabe, denn du schließt damit kritische Sicherheitslücken in diversen IT-Produkten. Und das Schöne ist: Die meisten Patches werden von den Herstellern nicht überra­schend veröf­fent­licht, sondern in einem regel­mä­ßigen und planbaren Turnus. Das Wartungsfenster lässt sich also in der Regel gut planen.

Wir haben bei unserem Projekt- und Service Delivery Manager Kai nachge­fragt, was er zu dem Thema meint. Er erzählt, wie die Einstellung seiner Kunden diesbe­züglich ist und was er seinen Kunden rät.

kai_lindner_modified_3

Kai
Projekt- und Service Delivery
Manager bei ASPICON

Individuelle Betrachtung lohnt sich

„Grundlegend orien­tieren wir uns an der Empfehlung der jewei­ligen Hersteller. D.h. im Falle von Oracle Datenbanken an denen von Oracle und im Falle von MS SQL Server Datenbanken an denen von Microsoft.“, so Kai auf die oben gestellte Frage. Die Hersteller geben die Empfehlung mit und diese lautet ganz klar: Jeder Patch sollte möglichst zeitnah einge­spielt werden. Als langjäh­riger Dienstleister im Bereich Datenbanken und Infrastrukturen wissen wir aller­dings, dass das Einspielen von Sicherheitsupdates immer mit einem gewissen Aufwand sowie mit Kosten verbunden ist. Auch wenn sie natürlich einem essen­zi­ellen Zweck dienen: Nämlich der langfris­tigen Aufrechterhaltung und Sicherstellung der Verfügbarkeit deiner IT-Umgebung.

Daher betrachten wir unsere Kunden sehr indivi­duell und geben gezielte Empfehlungen ab: „Jeder Patch wird im Vorfeld von einem unserer Techniker geprüft, da nicht alle Kunden auch alle Produkte und Module im Einsatz haben, die gepatcht werden müssen. Hier gibt es große Unterschiede zwischen den Editionen und den vom Kunden einge­setzten Produkten. Manche Patches können ggf. nur für Cloud Control Kunden wichtig sein. Andere wiederum, wie z.B. im Bereich WebLogic, enthalten in der Regel immer wichtige Updates für nahezu alle Kunden. Das liegt daran, dass hier viele Webserversysteme und Module besonders im Windows-Umfeld betroffen sind.“, führt Kai weiter an.

Jeder Patch wird im Vorfeld von einem unserer Techniker geprüft, da nicht alle Kunden auch alle Produkte und Module im Einsatz haben. 

Gute Vorbereitung ist alles

Laut Kai ist zu spüren, dass das Thema Patchen mehr und mehr in den Fokus unserer Kunden rückt. Außerdem ändert sich die Einstufung hinsichtlich der Zuständigkeit. Meist landet es nicht mehr nur auf den Tischen der Technikabteilung, sondern geht auch an die IT-Leitung oder gar Geschäftsführung. Denn die Sicherheitsupdates erfordern natürlich organi­sa­to­risch einiges an Aufwand: „Es sind ggf. Anpassungen im Testsystem nötig, Downtimes sowie Termine müssen abgestimmt und Kosten freige­geben werden. Es steht und fällt also mit der Qualität der Vorbereitung. Je routi­nierter das Patchen abläuft, umso weniger Aufwand und Kosten verur­sacht es.“, gibt Kai aus seiner Erfahrung der letzten Jahre preis.

Bei unseren Kunden mit Consultingpaketen, Fully Managed Service und Abrechnung über Service Desk ist zumindest der kaufmän­nische Part bereits abgedeckt. Beim Großteil unserer Kunden kennen wir außerdem die Anforderungen und Zeitfenster für Updates. Dementsprechend können wir passende Termine anbieten. Meist sind die Downtimes auch nahezu gleich, was das Ganze sehr gut planbar macht.

Je routi­nierter das Patchen abläuft, umso weniger Aufwand, Kosten und Downtimes verur­sacht es. 

Die Priorisierung wird weiter zunehmen

Auf die Frage, ob es eine spürbare Veränderung der Priorisierung von Sicherheitsupdates innerhalb der vergan­genen Jahre gibt sagt Kai: „Ja, definitiv! Noch vor zwei Jahren wurden Sicherheitspatches als weniger wichtig angesehen – nach dem Motto: „Es wird schon nichts passieren“. Die in letzter Zeit ständig präsenten Meldungen zu diversen Sicherheitslücken und Angriffsszenarien führen de facto zu einer stärkeren Sensibilisierung der IT-Verantwortlichen. Ausreden wie „Wir haben kein Budget / keine Zeit“ oder „Wir können uns keine Downtimes leisten“ oder „Das haben wir schon immer so gemacht“, werden glück­li­cher­weise deutlich weniger.”

Darüber hinaus ist das Thema Patching ein elemen­tarer Bestandteil der Anforderungen des BSI an den IT Grundschutz. Vor allem für Unternehmen aus dem KRITIS-Umfeld gilt dies in beson­derem Maße. Klar kostet das Patchen von Systemen Zeit und Geld. Aber im Falle einer Kompromittierung in Verbindung mit dann meist noch viel längeren Downtimes, Produktionsausfällen oder gar Datenverlust wird der Aufwand um ein Vielfaches höher. Zumal die IT-Strukturen in Unternehmen zunehmend komplexer werden und der Wiederaufbau immer länger dauert.

Fazit

Mit einer gut abgestimmten und besten­falls standar­di­sierten Herangehensweise an das Einspielen von Sicherheitsupdates reduzieren sich Kosten und Aufwand erheblich. In jedem Falle lohnt sich die genaue Betrachtung jedes einzelnen Patches in Verbindung mit der vorherr­schenden IT-Umgebung. Wenn du feststellst, dass mit dem Update kritische Sicherheitslücken in einem oder mehreren deiner einge­setzten IT-Produkte geschlossen werden, solltest du den Patch in jedem Falle zeitnah einspielen. Denn jede – wenn auch vermeintlich noch so kleine – Sicherheitslücke kann dazu führen, dass du dich angreifbar machst.

Lass dich am besten heute noch auf unserer Patchliste eintragen. Dann infor­mieren wir dich immer recht­zeitig über die für dich wichtigen Updates und nehmen in Abstimmung mit dir alle nötigen organi­sa­to­ri­schen Maßnahmen im Vorfeld vor.

Patch-Hotline: +49.371.909515–100

Hier findest du weitere Infos zu den vergan­genen und aktuellen Patch Updates aus unserem News und Insights Bereich.

icon-arrow_right_medium-violet-blue.svg

Share this article

Facebook 
Twitter 
LinkedIn 
XING 
WhatsApp 
Email